Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Problem Mit Troj/Haxdoor-L

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.06.2005, 18:52   #1
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Ich habe diesen Troj/Haxdoor-L auf meinem Computer und bekomme ihn leider nicht mehr weg! Ich habe es schon im Abgesicherten Modus und in der Eingabe aufforderung versucht! Und Windows überinsterliert aber es hilft leider nicht! Die Datein sind einfach nicht da! Und wenn ich in der Suchmaschiene suche nach einer Datei und er durschsucht im Windows/System32 oder wenn ich einfach nur in den Ordner gehe kommt ein Blauer Bildschirm Aus Sicherheitsgründen muss ihr pc..... Wenn der Fehler beim neustart bleibt deinsterlieren sie Software... Der Fehler wurde von der Datei Vdnt32.sys Verursacht..... Ich weiss ausserdem noch das ich die Datei draw32.dll und Klogini.dll, p2.ini und vdnt32.exe draufhabe!

Kann mir jemand weiterheflen das wegzubekommen ohne die Festplatte zu formatieren! Es ist mir eigentlich egal ob mein Pc dann noch angegriffen werden kann da ich momentan eh nur Internet bei meinen Freunden habe!

Hauptsach ich kann wieder in den Ordner gehen, denn das ist mir sehr wichtig weil ich mit Vb programieren und Componenten einbinden möchte da er da immer im System32 Ordner guckt ist das leider nicht möglich! Und in der Suchmaschiene wollte ich auch gerne Suchen


Vielen Dank vorraus!!!

Alt 13.06.2005, 19:13   #2
Cidre
Administrator, a.D.
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Hallo,

schau mal hier -> http://www.trojaner-board.de/showpos...01&postcount=2
__________________

__________________

Alt 14.06.2005, 20:39   #3
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Na toll.... eigentlich wollte ich ja nicht so gerne formatieren! Ist es nicht möglich den irgendwie zu löschen... Oder einfach irgendwie zu überwachen... So das ich wieder in den Windows/system32 ordner gehen kann?
__________________

Alt 14.06.2005, 20:57   #4
Cidre
Administrator, a.D.
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Nein, es bringt die Vertrauenswürdigkeit nicht zurück.
In der Anleitung wird diese Frage ebenfalls mit Nein beantwortet.
Zitat:
Q: Warum ist eine Bereinigung des kompromittierten Systems
durch Removal-Tools und AV Scanner nicht sinnvoll?

A:
  • Entfernung von Schädlingen
  • Was tun bei Kompromittierung des Systems?
  • Ich habe einen Virus / Dialer / ,,Trojaner``/ wurde ,,gehackt``. Was soll ich tun?
  • Cobra (MOD TB) und Cidre (Regular)
  • Help: I Got Hacked. Now What Do I Do?
__________________
Gruß, Cidre


Alt 15.06.2005, 16:11   #5
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Ich habe es jetz selber hinbekommen wenn man die Windows Cd einlegt kann man da mit R windows reparieren machen. Und dann habe ich da die Datein gelöscht von dem Virus jetz kann ich wieder inner Suchmaschiene suchen und alles andere. Sogar manche Spiele konnte ich nicht mehr insterlieren aber geht jetz auch wieder!

Trotzdem danke!


Alt 15.06.2005, 16:32   #6
Gigamail
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Hi,

Zitat:
Zitat:Stormy33 Es ist mir eigentlich egal ob mein Pc dann noch angegriffen werden kann da ich momentan eh nur Internet bei meinen Freunden habe!
------>
Zitat:
Zitat: Stormy33kann ich wieder inner Suchmaschiene suchen und alles andere.
das ist doch irgentwie ein Widerspruch, oder...

Na dann bis zu einem fröhlichen Wiedersehen :aplaus:
__________________
--> Problem Mit Troj/Haxdoor-L

Alt 15.06.2005, 16:40   #7
Haui45
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



@Stormy33
Dir ist klar, dass du Teil eines Netzwerkes bist und mit deiner Virenschleuder dazu beiträgst, dass andere PCs infiziert werden?
Dir ist klar, dass 'dein' PC zum Versand illegalen Materials (Nazi-Spam usw.) missbraucht werden kann?
Dir ist klar, dass 'dein' PC auch für andere illegale Aktivitäten (DOS-Attacken) missbraucht werden kann?
Dir ist klar, dass viele Schädlinge eine Reparaturinstallation überleben?
Dir ist klar, dass das System nicht mehr vertrauenswürdig ist?

Das wollte ich nur nochmal klarstellen...

Alt 15.06.2005, 18:50   #8
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Ich habe mal irgendwo gelesen das der Virus keine Windows Datein ersetzt.... weiss jetz leider nicht mehr wo! Er hat sich aber als Dienst eingetragen deswegen hat er immer überall mitgestartet also würde ich jetz denken das mein Computer wieder sicher ist!

Alt 15.06.2005, 18:51   #9
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Der hat nämlich auch geschrieben das er das hatte und er das so weggekriegt hatte und danach keine Probleme mehr hatte!

Alt 15.06.2005, 18:53   #10
Yopie
Moderator, a.D.
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Zitat:
Zitat von Stormy33
also würde ich jetz denken das mein Computer wieder sicher ist!
Das heißt gar nichts! Du kannst nur sicher sein, wenn du neu aufsetzt!

Gruß
Yopie

Alt 15.06.2005, 19:00   #11
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Genau das konnte der habe ich eben mal gefunden aber das wo der eine gesagt hat das dann sein pc sicher war habe ich noch nicht gefunden....


Haxdoor ist ein leistungsstarkes Schleusenprogramm mit Rootkit-Funktionalität. Das Programm kann sein Vorhandensein (Prozesse und Dateien) in einem infizierten System verbergen; zu entdecken ist es nur durch Virenschutz-Programme mit Kernel-Treibern und durch Rootkit-Detektoren (wie z. B. F-Secure BlackLight).

Dieses Schleusenprogramm verfügt über Spionagefähigkeiten, und Berichten zufolge wurden mit diesem Programm in letzter Zeit bankbezogene Informationen (Logins und Passwörter für Online-Bankkonten) und andere Daten ausgespäht.

VARIANT: Backdoor.Win32.Haxdoor.al


Detaillierte Beschreibung


Bei der Ausführung des Schleusenprogramms werden im Verborgenen 7 Dateien im Windows-Systemverzeichnis abgelegt:


cm.dll
draw32.dll
hm.sys
memlow.sys
vdnt32.sys
vtd_16.exe
wd.sys

Aktiviert werden diese Dateien erst beim nächsten Booten. Wenn das Schleusenprogramm aktiv ist, sind alle Dateien verborgen. Darüber hinaus versucht das Schleusenprogramm, seinen Code in den Windows Explorer-Prozess einzuschleusen, und verbirgt sowohl 'Explorer.exe'- als auch 'Winlogon.exe'-Prozesse. Mit unserem BlackLight Rootkit Eliminator kann das Schleusenprogramm jedoch aufgestöbert und erfolgreich beseitigt werden.

Die Datei 'vtd_16.exe' ist eine Windows-CMD.EXE und wird vom Schleusenprogramm als Köder ausgeführt (der Name des Schleusenprogramms lautet CMD.EXE, also betreibt es einen Befehlsinterpreter, um seine Aktivitäten zu verbergen).

Die Dateien 'cm.dll' und 'draw32.dll' sind identisch. Sie stellen die Hauptkomponente des Schleusenprogramms dar. Der Winlogon-Benachrichtigungsschlüssel für die Datei 'draw32.dll' wird in die Registrierung eingefügt:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32]

Dadurch kann das Schleusenprogramm ausgeführt werden, sobald sich ein Anwender einloggt. Diese Methode des Programmstarts ist bei Malware ziemlich selten zu finden.

Das Schleusenprogramm ist recht leistungsstark (siehe unten) und verfügt über Möglichkeiten, Passwörter auszuspionieren. Das Programm enthält die folgenden Zeichenketten und kann Login- und Passwort-Informationen von Anwendern verschiedener Onlinebanken und Zahlungssysteme ausspähen.


bank
banq
trade
merchant
moneybookers
VeriSign
authorize
sgcyprus
coopcb
fbme
banc
gold
business
citi
ikobo
HSBC
halifax
alpha.gr
cdb
Barclays

Zusätzlich kann das Programm folgende Informationen stehlen:


POP3-Kennwort
POP3-Servername
POP3-Benutzername
IMAP-Kennwort
IMAP-Servername
IMAP-Benutzername

Das Schleusenprogramm kann auch im Cache-Speicher abgelegte Miranda ICQ-, Mdialer- und Webmoney-Passwörter sowie Mdialer- und RAS-Telefonnummern und andere RAS-bezogene Informationen (Benutzername, Passwort, Domain, DNS-Einstellungen) ausspähen.

Alle gestohlenen Daten werden per E-Mail an die Adresse 'corpse@mailserver.ru' gesendet. Das Programm kann auch eine Verbindung zu einer Website mit einem speziell eingerichteten URL herstellen, um einen Hacker zu benachrichtigen; auch der Datenversand an eine Website ist möglich. Der Name der Website wird durch den Hacker konfiguriert.

Das Schleusenprogramm kann folgende Internet Explorer-Einstellungen modifizieren:


Seite durchsuchen
Lokale Seite
Startseite
Erste Homepage
Standardsuche URL

Das Schleusenprogramm kann über einen IRC-Bot gesteuert werden. Im aktiven Zustand tritt das Schleusenprogramm dem '#corpse'-Kanal auf dem Server 'irc.localirc.net' bei. Das Programm unterstützt mehrere Befehle, mit denen ein Hacker folgende Aktionen ausführen kann:


einem Kanal beitreten
Bot beenden
Pseudonym ändern
Dateien ausführen
Dateien herunterladen
ein Schleusenprogramm starten
ein Proxy starten
eine DDOS-Attacke starten
Informationen über lokale Laufwerke einholen
E-Mails versenden
Verzeichnisse anzeigen
Dateien suchen
einen Computer neu starten
Informationen über einen Anwender einholen
die Datei des Schleusenprogramms von einem Webserver aus aktualisieren

Als Payload-Routine kann das Programm bestimmte Firewalls abschalten und folgende Prozesse beenden:


zapro.exe
vsmon.exe
jamapp.exe
atrack.exe
iamapp.exe
FwAct.exe
mpfagent.exe
outpost.exe
zlclient.exe
mpftray.exe

Nebenbei kann das Schleusenprogramm dem Anwender auch noch „lustige“ Streiche spielen, etwa die CD-ROM-Schublade öffnen und schließen.

Alt 15.06.2005, 19:03   #12
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Da haben wir etwas ähnliches er hatte auch das problem ist von CHIP

Also, ich bin ihn los.
Der Virus legt ein paar nette log files an...man findet sie unter windows/system32 als neue Dateien. Zum Beispiel klo5.log- ein kompletter key log. Und in ps.a3d stehen alle Informationen über Passwörter aus dem internet explorer...
Also, neu angelegte Dateien in windows/system32 :
klo5.log
klogini.dll
p2.ini
draw32.dll
ps.a3d
vtd16.exe
memlow.sys
vdnt32.sys

Beseitigung:
- In der registry nach vtd_16 suchen und Eintrag entfernen
- mit Strg-Alt-Del die Dienste aufrufen und vtd_16.exe töten
- danach alle oben genannten Dateien löschen
- dann Neustart, eventuell verbleibene Reste noch mal löschen und dann beim 2. Neustart sollte alles sauber sein.

Alt 15.06.2005, 19:07   #13
Yopie
Moderator, a.D.
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Zitat:
Zitat von Stormy33
Genau das konnte der
Alles in allem eine schöne Auflistung von Gründen, den Rechner asap vom Netz zu nehmen und neu aufzusetzen!

Das Chip etwas anderes sagt, ist ein Grund mehr, neu aufzusetzen!

Wenn du nicht formatieren willst, dann verschwinde bitte aus dem Internet!

Für mich eod.

Gruß
Yopie

Alt 15.06.2005, 19:15   #14
Stormy33
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Ich Formatiere meinen Computer nicht einfach so! Dann zeig mir einen Beweiss dafür das er Windows datein ersetzt oder andere böse Dinge die nach dem Löschen noch bleiben und zeig mir bitte von welcher Seite du das hast, dann glaube ich dir und formatiere!



Habe nämlich viele wichtige Programme auf meinem Computer die ich leider nicht mehr auf Cd habe! Des wegen möchte ich nämlich nicht so gerne Formatieren!

Alt 15.06.2005, 19:21   #15
Yopie
Moderator, a.D.
 
Problem Mit Troj/Haxdoor-L - Standard

Problem Mit Troj/Haxdoor-L



Das ist ein Backdoor, und der kann u.a.
Zitat:
Dateien herunterladen
Dateien ausführen
Und damit kann der Backdoor alles, was ein Admin auf dem Rechner machen kann!

Steht aber auch alles auf http://www.trojaner-board.de/showthread.php?t=12154 , deswegen verstehe ich nicht, warum man dir das nochmal vorbeten muss.

Zitat:
Habe nämlich viele wichtige Programme auf meinem Computer die ich leider nicht mehr auf Cd habe!
Ich bin mir sicher, wenn es wichtige Programme sind und du sie gekauft hast, dann hast du auch die CDs.

Gruß
Yopie

Antwort

Themen zu Problem Mit Troj/Haxdoor-L
.dll, abgesicherten, abgesicherten modus, aus sicherheitsgründen, bildschirm, bildschirm aus, blauer, blauer bildschirm, computer, datei, einbinden, einfach, fehler, festplatte, formatieren, freunde, guckt, internet, modus, neustart, nicht mehr, nicht möglich, ordner, platte, problem, sicherheitsgründe, sicherheitsgründen, suche, tan, wichtig, windows



Ähnliche Themen: Problem Mit Troj/Haxdoor-L


  1. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  2. Troj/ExpJS-EG / Troj/ZbotMem-B / Trojan.Phex.THAGen6 - BA-BA-BA-BA-BANKÜBERFALL 2012
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (19)
  3. haxdoor troj. immer noch aufm rechner???
    Plagegeister aller Art und deren Bekämpfung - 08.06.2008 (37)
  4. Hilfe!! BDS Haxdoor LJ1
    Log-Analyse und Auswertung - 15.03.2008 (39)
  5. Haxdoor
    Plagegeister aller Art und deren Bekämpfung - 20.07.2007 (1)
  6. Backdoor Haxdoor
    Mülltonne - 23.05.2007 (2)
  7. haxdoor.fam??
    Plagegeister aller Art und deren Bekämpfung - 18.09.2006 (2)
  8. BDS/Haxdoor.GJ.1
    Plagegeister aller Art und deren Bekämpfung - 30.04.2006 (2)
  9. BDS/Haxdoor.GJ.1?
    Mülltonne - 30.04.2006 (2)
  10. Habe ich Haxdoor auf den PC ?
    Log-Analyse und Auswertung - 23.02.2006 (4)
  11. Haxdoor Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.09.2005 (7)
  12. Trojaner Haxdoor.BGN
    Plagegeister aller Art und deren Bekämpfung - 23.07.2005 (1)
  13. Haxdoor-H
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (2)
  14. backdoor.haxdoor problem
    Plagegeister aller Art und deren Bekämpfung - 24.03.2005 (1)
  15. Haxdoor und mehr
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (1)
  16. mIRC wurm und Troj LADDER.A /Troj RAS.DLDR
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (1)
  17. TROJ PROCKILLA / TROJ TARNO.A
    Plagegeister aller Art und deren Bekämpfung - 06.01.2004 (3)

Zum Thema Problem Mit Troj/Haxdoor-L - Ich habe diesen Troj/Haxdoor-L auf meinem Computer und bekomme ihn leider nicht mehr weg! Ich habe es schon im Abgesicherten Modus und in der Eingabe aufforderung versucht! Und Windows überinsterliert - Problem Mit Troj/Haxdoor-L...
Archiv
Du betrachtest: Problem Mit Troj/Haxdoor-L auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.