Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Haxdoor Virus!!! Wie bekomm ich es weg (https://www.trojaner-board.de/12580-haxdoor-virus-bekomm-weg.html)

Egonn 22.01.2005 16:27

Haxdoor Virus!!! Wie bekomm ich es weg
 
Hi, ich habe ein Problem! Wen ich den Explorer öffnen will fährt der Pc aus sicherheitsgründen herunter. Dann kommt ne Blue Page mit der Meldung Verursachte Datei: vdnt32.sys .... PAGE_FAULT_IN_NONPAGED_AREA

Hier von hijack:

Logfile of HijackThis v1.99.0
Scan saved at 16:26:05, on 22.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Höfinghoff\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\spyboot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105015090459
O23 - Service: Sophos Cache Manager - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Kann mir da jemand helfen? Norton reagiert auch nicht Sophos irgendwie auch nicht! :heulen:
MfG egonn

Rene-gad 22.01.2005 17:20

Hallo Egonn
Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
abgesehen von nicht aktuellen Win und IE sehe ich von diesem Log aus keine Plagen.
Fragwürdig ist dieser Eintrag:
Zitat:

F3 - REG:win.ini: run=
Was ich als falsch betrachte sind lediglich 2 parallel laufende AV-Programme.
Hast du noch den Scanlog von Sophos mit Virenmeldung parat? Wo und was wurde gemeldet?
Allerdigs: Um auf die Nummer sicher zu gehen würde ich die Neuinstallation vorschlagen.

Chris14 22.01.2005 17:30

ich betrachte da mehr als dieser merkwürdige leere win.ini eintrag.
da ist ein backdoor drauf, nämlich der neue haxdoor (er wurde nach sophos erst am 07.01.05 erkannt)
ich empfehle das system neu aufzusetzen und Cidre's Anleitung dabei zu befolgen.

~edit~ ich habe mich nicht deutlich btw schlecht erkennbar ausgedrückt, ich meine damit natürlich das das eine reine vermutung darstellen sollte, keinesfalls eine feststellung ~edit~

HerrKautz 22.01.2005 17:33

Zitat:

Zitat von Chris14
ich betrachte da mehr als dieser merkwürdige leere win.ini eintrag.
da ist ein backdoor drauf, nämlich der neue haxdoor (er wurde nach sophos erst am 07.01.05 erkannt)
ich empfehle das system neu aufzusetzen und Cidre's Anleitung dabei zu befolgen.


Wo siehst du den?

Welcher Eintrag ist es,weiss des echt nich jetz!

Chris14 22.01.2005 17:36

man muss dazu anmerken, dass dies eine vermutung darstellen sollte.

ich erkenne das aber an der vdnt32.sys. in allen fällen wir sie als bluescreenmacher und backdoor erklärt.
es passt alles für mich zusammen.
aber es wäre eben sicherer, wenn windows neuinstalliert wird. dann kann sowas auch ausgeschlossen werden (lieber mal mehr neuinstallieren mit weniger risiken statt system laufen lassen und vielleicht backdoor drauf..)

HerrKautz 22.01.2005 17:40

Also das mit dem Bluescreen habe ich gesehen,da sind auch 3 Einträge die mich stören,aber vielleicht sollte er erstmal einen escan machen neu aufsetzen kann er ja immer noch finde ich :)

Chris14 22.01.2005 17:43

hm ja ok. vielleicht is ja doch was zu retten.
@egon es empfiehlt sich wohl doch eher mal nen escan durchlaufen zu lassen.
also lade dir escan runter und gehe genau nach dieser anleitung vor
gehe dann wenn er fertig ist, wieder in den normalen modus, wo du die datei mwav.log öffnest, auf bearbeiten und anschließend auf suchen klickst
Gebe dann infected ein.Suche weiter,markiere die Treffer und kopiere sie ins forum

Egonn 22.01.2005 18:23

Ok werde das mal versuchen. Melde mich wieder wens fortschritte gibt!

Egonn 22.01.2005 18:25

ach ja was mir noch aufgefallen ist wen ich den Norton starte und drüberlaufen lass und Spy boot und A-adware auch fährt er auch runter!!!

Egonn 22.01.2005 19:01

So, wen ich escan drüber lasse fährt er nach ca. 3min wider herunter!!! Hier habe ich abgebrochen und das hats an Viren angezeigt:

File C:\WINDOWS\Hausaufgaben[hun-10051,de,1].exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hm.sys infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vdnt32.sys infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vtd_16(2)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vtd_16(3)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vtd_16(4)(2).exe infected by "Backdoor.Win32.Haxdoor.gen" Virus. Action Taken: No Action Taken.

Und ich habe Norten ubgedatet, seit dem kommen immer die Meldungen: Backdoor.Haxdoor.c , Backdoor.Mutny, Bloodhound.Packed: Zugriff verweigert oder Repariert oder Problem behoben.... und das nach jedem schritt den ich am Pc mache!!

HerrKautz 22.01.2005 19:07

Jo das langt aber schon leider für dich!

Hast jetzt was zutun und zwar das hier http://trojaner-board.de/showthread.php?t=12154


Gruss

Nochwas gehst du über DSL ins Internet oder analog??Wenn ja sicher den Dailer auf Diskette zwecks Beweissicherung!!

Egonn 22.01.2005 19:16

Ist nicht neu Formatiren einfacher???
Ich gehe per Dsl-Router ins Internet.
Ok den Dailer werde ich absichern

HerrKautz 22.01.2005 19:17

Zitat:

Zitat von Egonn
Ist nicht neu Formatiren einfacher???
Ich gehe per Dsl-Router ins Internet.
Ok den Dailer werde ich absichern

Bei DSL musst du ihn nicht sichern!

Ich meine doch mit dem Thread neu formatieren ;)

Sollst eben alles genau lesen :)

Gruss

Egonn 22.01.2005 19:22

das werde sobald ich zeit habe mal bald tun!
Danke für die ganzen Tipps

Tom59 23.01.2005 01:24

@Hallo

@Chris 14 könnte Recht haben...

Zitat:

F3 - REG:win.ini: run=c:\windows\system32\de32gen.exe
was das für eine Exe ist, weiss ich nicht, jedenfalls sind in den letzten Tagen wieder viele mail - fakes von "t-com.net" im Umlauf gewesen, die die neuesten Haxdoor-Varianten im Attachment hatten!!! ...und das ist ein übler Bursche!!!

lg


Tom59


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:50 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129