|
Haxdoor Virus!!! Wie bekomm ich es weg Hi, ich habe ein Problem! Wen ich den Explorer öffnen will fährt der Pc aus sicherheitsgründen herunter. Dann kommt ne Blue Page mit der Meldung Verursachte Datei: vdnt32.sys .... PAGE_FAULT_IN_NONPAGED_AREA Hier von hijack: Logfile of HijackThis v1.99.0 Scan saved at 16:26:05, on 22.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Sophos\Remote Update\cachemgr.exe C:\Programme\Sophos\Remote Update\imonitor.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Höfinghoff\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F3 - REG:win.ini: run= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\spyboot\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105015090459 O23 - Service: Sophos Cache Manager - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton\navapsvc.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Kann mir da jemand helfen? Norton reagiert auch nicht Sophos irgendwie auch nicht! :heulen: MfG egonn |
Hallo Egonn Zitat:
Fragwürdig ist dieser Eintrag: Zitat:
Hast du noch den Scanlog von Sophos mit Virenmeldung parat? Wo und was wurde gemeldet? Allerdigs: Um auf die Nummer sicher zu gehen würde ich die Neuinstallation vorschlagen. |
ich betrachte da mehr als dieser merkwürdige leere win.ini eintrag. da ist ein backdoor drauf, nämlich der neue haxdoor (er wurde nach sophos erst am 07.01.05 erkannt) ich empfehle das system neu aufzusetzen und Cidre's Anleitung dabei zu befolgen. ~edit~ ich habe mich nicht deutlich btw schlecht erkennbar ausgedrückt, ich meine damit natürlich das das eine reine vermutung darstellen sollte, keinesfalls eine feststellung ~edit~ |
Zitat:
Wo siehst du den? Welcher Eintrag ist es,weiss des echt nich jetz! |
man muss dazu anmerken, dass dies eine vermutung darstellen sollte. ich erkenne das aber an der vdnt32.sys. in allen fällen wir sie als bluescreenmacher und backdoor erklärt. es passt alles für mich zusammen. aber es wäre eben sicherer, wenn windows neuinstalliert wird. dann kann sowas auch ausgeschlossen werden (lieber mal mehr neuinstallieren mit weniger risiken statt system laufen lassen und vielleicht backdoor drauf..) |
Also das mit dem Bluescreen habe ich gesehen,da sind auch 3 Einträge die mich stören,aber vielleicht sollte er erstmal einen escan machen neu aufsetzen kann er ja immer noch finde ich :) |
hm ja ok. vielleicht is ja doch was zu retten. @egon es empfiehlt sich wohl doch eher mal nen escan durchlaufen zu lassen. also lade dir escan runter und gehe genau nach dieser anleitung vor gehe dann wenn er fertig ist, wieder in den normalen modus, wo du die datei mwav.log öffnest, auf bearbeiten und anschließend auf suchen klickst Gebe dann infected ein.Suche weiter,markiere die Treffer und kopiere sie ins forum |
Ok werde das mal versuchen. Melde mich wieder wens fortschritte gibt! |
ach ja was mir noch aufgefallen ist wen ich den Norton starte und drüberlaufen lass und Spy boot und A-adware auch fährt er auch runter!!! |
So, wen ich escan drüber lasse fährt er nach ca. 3min wider herunter!!! Hier habe ich abgebrochen und das hats an Viren angezeigt: File C:\WINDOWS\Hausaufgaben[hun-10051,de,1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\hm.sys infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\vdnt32.sys infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\vtd_16(2)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\vtd_16(3)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\vtd_16(4)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken. Und ich habe Norten ubgedatet, seit dem kommen immer die Meldungen: Backdoor.Haxdoor.c , Backdoor.Mutny, Bloodhound.Packed: Zugriff verweigert oder Repariert oder Problem behoben.... und das nach jedem schritt den ich am Pc mache!! |
Jo das langt aber schon leider für dich! Hast jetzt was zutun und zwar das hier http://trojaner-board.de/showthread.php?t=12154 Gruss Nochwas gehst du über DSL ins Internet oder analog??Wenn ja sicher den Dailer auf Diskette zwecks Beweissicherung!! |
Ist nicht neu Formatiren einfacher??? Ich gehe per Dsl-Router ins Internet. Ok den Dailer werde ich absichern |
Zitat:
Ich meine doch mit dem Thread neu formatieren ;) Sollst eben alles genau lesen :) Gruss |
das werde sobald ich zeit habe mal bald tun! Danke für die ganzen Tipps |
@Hallo @Chris 14 könnte Recht haben... Zitat:
lg Tom59 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board