haxdoor troj. immer noch aufm rechner???
 

Ich brauche eure Hilfe!!! Ich weiß, dass ich einen haxdoor Trojaner auf meinem Rechner habe oder hatte. Ich bin mir nicht sicher, weil ich auf ein Paar Sites war und dort stand, dass die nicht löschbar sind. Mein Antivirus Programm sagt, dass ich ihn erfolgreich gelöscht hab, aber ich trau der Sache nicht, da HiJackThis noch immer eine unsichere Datei anzeigt. Ich hab sie also auf meinem Rechner gesucht aber nichts gefunden. Wenn ihr eine Idee habt woran das liegen kann oder wie ich mir Sicherheit verschaffen kann schreibt bitte zurück.
Hier ist meine Logfiles von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:31, on 18.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Programme\Sygate\SPF\smc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5252 bytes


Danke im voraus

peter hansen

Hi,
stelle hier bitte Mal die Funde von Avast! ein, damit wir sehen können, welche Dateien gefunden und gelöscht wurden.
Außerdem wäre die genaue Bezeichnung des Trojaners hilfreich. :)

Dann sehen wir weiter. :)

lg myrtille

Zitat: Außerdem wäre die genaue Bezeichnung des Trojaners hilfreich.

ist haxdoor nicht die genaue bezeichnung???
bin gerade in der schule, also kann ich dir die avast funde noch nicht geben.

danke für deine meldung (sorry, dass ich dich "privat angeschrieben" hab)

so ich bin wieder zu hause

ich glaub mein avast hat die ergebnisse nicht gespeichert!:schmoll:

Es gibt 1000 Varianten von Haxdoor, daher wäre die genaue Meldung von Avast hilfreich, die Möglichkeiten ein wenig einzuschränken.

lg myrtille

EDIT: Avast hat die Daten sicherlich gespeichert. Ich muss gleich los, schau heute abend mal ob ich dir ne Anleitung geben kann.

Ich misch mich mal ein : Meinst Du den Backdoor Haxdoor ? @ peterhansen
BDS/Haxdoor.GA.12 - Vollstndig
BDS/Haxdoor.KG - Vollstndig
->Berichte von Avira ~

@Sternensucht: ich hab keine ahnung. mein vater hat einen brief von unserem online banking (sparkasse) bekommen und dort stand nur "haxdoor" . beim virenscan ist der name noch nicht aufgetaucht. hier sind die dateien, die als trojaner indentifiziert wurden: flashcft.dll ; droute.dll ;


@myrtille: ist gut ich bin dann gegen 18:00 uhr noch online oder die restliche zeit bis dahin...

danke euch beiden:)

gruß peter

Bitte den kompletten Pfad angeben!
Also C:\windows\bla\blubb\datei.exe.

Wenn die Dateien noch aufm Rechner sind, dann lad sie doch bitte bei virustotal hoch und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille

der pfad war:

C:\windows\system32\flashcft.dll

C:\windows\system32\droute.dll

also flashcft.dll und droute.dll sind nicht mehr aufm rechner. ich glaub die hat avast! für mich gekillt. aber weil ich ja noch nicht weiss, wo ich den bericht herbekomme, weiss ich noch nicht was los ist.
kannst mir ja jetzt die anleitung schicken.

gruß

peter

Bin morgen wieder da!!

gruß peter

All gefundenen und isolierten Dateien solltest du im Virencontainer finden. Letzter Punkt in der Übersicht.

Mach bitte außerdem noch ne alternative Überprüfung deines Systems indem du:
MBAM und Silentrunners, sowie blacklight

Poste anschließend noch ein Log von Haxfix:

• Lade dir haxfix
• Führe es mit einem Doppelklick aus
• Es erscheint nun ein Fenster mit der Auswahl:
  • 1. Make logfile
  • U. Uninstall Haxfix
  • E. Exit Haxfix
  Wähle 1
• Poste das erscheinende Log hier und verlasse Haxfix, indem du E eingibst.

lg myrtille

hi

ok dann
ich lad mir die programme morgen.
muss jetzt schluss machen.

bis dann und danke

gruß peter:o

Hi
also hier ist der report von HaxFix:

HAXFIX logfile - by Marckie

version 5.01.1
24.05.2008 13:35:15,45
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found


--- Checking for Goldun ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking iexplore.exe
iexplore.exe is not infected


--- Checking for other Goldun and Haxdoor files ---
C:\WINDOWS\system32\kl80.bin
C:\WINDOWS\system32\ksl48.bin


--- Catchme logfile - thank you Gmer ---

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 13:35:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 57446


--- Analysing Catchme logfile ---

no matching regkeys found


Finished!


das black light hat auch nichts gefunden.:)

und das malwarebytes auch nicht. Hier ist trotzdem der report:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 767

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 93029
Scan Dauer: 49 minute(s), 37 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


warte auf deine antwort

grúß peter

Hi,

so recht will mir das alles noch nicht gefallen. Führe bitte noch folgendes Tool durch:

• Lade dir SDFix herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
• Starte deinen Rechner neu auf, in den abgesicherten Modus
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier



lg myrtille

hi,
wie start ich meinen rechner im abgesicherten modus???