Win32/Haxdoor -> Was soll ich tun?

Kitty.Kat · 16.08.2007, 17:20

Hallo erstmal..

bin neu hier, also haut mich bitte ned wenn ich irgendetwas falsch mache oder so..

ich hab grade eben aus "langeweile" das Windows Tool zum entfernen bösartiger Software durchlaufen lassen.. es wurde mir zwar angezeigt, dass keine bösartige Software gefunden wurde, doch im Bericht hab ich die Datei Win32/Haxdoor gefunden. der name hat mich n bissl stutzig gemacht & deshalb hab ich danach gegooglt und herausgefunden, dass das ein Trojaner is.. jetzt würd ich gerne wissen wie ich diesen entfernen kann bzw. was er alles macht & so.. im moment funktioniert mein PC noch einwandfrei, ich hab keine veränderungen bemerkt..

danke schonmal für eure antworten

Kitty.Kat

Gerd_R · 16.08.2007, 18:29

Hallo kitty.kat,

verrate usn doch bitte mal was mehr über dein System

- hast du ein Antiviren-Programm am laufen, wenn ja welches
- in welcher Datei wurde den der event. Virus gefunden
- stelle doch bitte mal ein hijackthis-Protokoll hier ein, beachte aber die Anleitung dazu

Kitty.Kat · 16.08.2007, 18:50

Hallo,

danke erstmal für deine schnelle Antwort.

- hast du ein Antiviren-Programm am laufen, wenn ja welches
ich benutze "avast! 4.7 home edition"
- in welcher Datei wurde den der event. Virus gefunden
das weiß ich leider nicht

da ich über "windows tool zum entfernen bösartiger software" davon erfahren und mich dann über google informiert habe
- stelle doch bitte mal ein hijackthis-Protokoll hier ein
poste ich mitrein, hoffentlich habe ich alles richtig gemacht in der anwendung (habe die anleitung beachtet)

LG Kitty.Kat

EDiT: falls es dir weiterhilft, ich benutze firefox, version 2.0.0.6

-------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:43:06, on 16.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe

BataAlexander · 16.08.2007, 19:27

Checke diese beiden Dateien bei VirusTotal - Free Online Virus and Malware Scan

C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe

und poste das Ergebnis hier.

Bata

Kitty.Kat · 16.08.2007, 19:49

hallo,

danke erstmal für deine antwort

(ich finds nett das einem hier so schnell geholfen wird +schleim schleim+

)

hier die ergebnisse, hoffe ich habs richtig gemacht (sorry, mache sowas zum ersten mal):

C:\WINDOWS\system32\drivers\STDSB.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 28672 bytes
MD5: 6b85d1e809a56cc2a8fd0243d5245a27
SHA1: 429946539547bd96d342d828b8a85598861ce52a

Ergebnis: 0/32 (0%)

-----------------------------------

C:\WINDOWS\system32\drivers\Icon.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 221184 bytes
MD5: 851ff453f9f892ff532770ddccd2b422
SHA1: 72a4c7cdb89a265238c0b71f96deaa5f4e002a7b

Ergebnis: 0/32 (0%)

---------
wenn ich mal fragen darf: ist mein system sonst ok?

BataAlexander · 16.08.2007, 20:17

Lade Dir combofix.

Zitat:

** schliesse alle Programme und Anwendungen
** Lade combofix
** doppelklick: combofix.exe

** schreibe "Y"
** warte die Datenträgerbereinigung ab

mit der rechten Maustaste den Text markieren -> kopieren -> -> einfügen

Bata

Kitty.Kat · 16.08.2007, 22:44

ähhhm es gibt ein kleines problem.. mein winrar ist auf deutsch

und ich bin nicht so gut in englisch.. eine 4 im zeugniss und naja.. ^^

16.08.2007, 19:27	#4
BataAlexander > MalwareDB	Win32/Haxdoor -> Was soll ich tun? Checke diese beiden Dateien bei VirusTotal - Free Online Virus and Malware Scan C:\WINDOWS\system32\drivers\STDSB.exe C:\WINDOWS\system32\drivers\Icon.exe und poste das Ergebnis hier. Bata

Win32/Haxdoor -> Was soll ich tun?

Plagegeister aller Art und deren Bekämpfung: Win32/Haxdoor -> Was soll ich tun?