mszx23.exe "Backdoor.Win32.Haxdoor.bh"

cratchy · 29.01.2005, 20:41

Brauche Hilfe!

Hab nen üblen Bösewicht auf meinem Rechner der nicht weg will.
Bei Systemstart, geht popup auf. zonelab zeigt ungefähr 10 Programme an die ins Netz wollen...
eScann findet die auch alle. aber selbst wenn ich im abgesicherten modus wieder starte ist jedesmal die "mszx23.exe" wieder da! (Window/System32).

hier mein hijack-log:

Logfile of HijackThis v1.99.0
Scan saved at 20:29:54, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11234
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11234
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11234
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.53/search.cgi?b11234
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.53/search.cgi?a11234
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.53/search.cgi?a11234
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\protect32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.53/search.cgi?b11234
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {26EC4DF8-9588-4DEB-BC78-0D83F8246262} - C:\WINDOWS\System32\msadf.dll (file missing)
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll (file missing)
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINDOWS\System32\TBC.dll (file missing)
O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll (file missing)
O2 - BHO: (no name) - {C7602FAF-C4CF-407C-8771-10AF46AD9A92} - C:\WINDOWS\System32\protect32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINDOWS\System32\TBC.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp1.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - Startup: AcrobatAssistent.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: winupdate10339852[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix:
O13 - WWW Prefix: http://69.50.191.50/1/?
O13 - Home Prefix:
O13 - Mosaic Prefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.bestsearch.cc
O15 - Trusted Zone: *.dapsol.com
O15 - Trusted Zone: *.bestsearch.cc (HKLM)
O15 - Trusted Zone: *.dapsol.com (HKLM)
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49551ECC-0720-47E2-85B0-97ADD5EE7EB8}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{96116CC1-9537-4FDE-B544-17FB0ABE75B4}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{A982CF27-FFFD-4B8F-A54D-C43D168C48A2}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8558DD5-F9AC-4625-9CD4-7CC70D6BA593}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{49551ECC-0720-47E2-85B0-97ADD5EE7EB8}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{49551ECC-0720-47E2-85B0-97ADD5EE7EB8}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {C4656594-C361-41DE-BC86-E65A9E812617} - C:\WINDOWS\System32\protect32.dll
O18 - Filter: text/plain - {C4656594-C361-41DE-BC86-E65A9E812617} - C:\WINDOWS\System32\protect32.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Schonmal danke!

chaosman · 29.01.2005, 20:55

@cratchy
die O15 bekommst du hiermit weg
http://www.trojaner-board.de/showthr...9&page=4&pp=10
(Lutz posting)
du hast ja escan oben,
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Cidre · 29.01.2005, 20:59

Hallo,

dein System ist ziemlich durchseucht. Hier findest du eine Lösung -> http://www.trojaner-board.de/showpos...2&postcount=12

cratchy · 31.01.2005, 14:07

also: hier die eScan-Ergebnisse:
File C:\WINDOWS\System32\mszx23.exe infected by "Backdoor.Win32.Haxdoor.bh" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\ysbinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gv" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan-Downloader.Win32.Agent.hp" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp19.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Agent.hp" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmp6.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Small.aha" Virus. Action Taken: File Deleted.

Und folgende Errors kamen vor(und noch einige andere). Aber sagt das was aus. Wobei z.B. die Userclass (letzter Eintrag) auch schonmal von AVG als infiziert geoutet wurde!

Mon Jan 31 13:16:28 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys
Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\NTUSER~1.LOG
Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\ntuser.dat
Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\Verlauf\History.IE5\MSHIST~1\index.dat
Mon Jan 31 13:07:32 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\Verlauf\History.IE5\index.dat
Mon Jan 31 13:07:25 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
Mon Jan 31 13:05:34 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Mon Jan 31 13:07:03 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\Andreas\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG

Und hier auch nochmal ein Hijack-log, da ich natürlich schon einiges versucht und gelöscht habe:

Logfile of HijackThis v1.99.0
Scan saved at 13:44:15, on 31.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DATEN\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - Startup: AcrobatAssistent.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: winupdate10339852[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O13 - Home Prefix:
O13 - Mosaic Prefix:
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

wegen eScan: soll ich die dateien einfach so löschen? das habe ich schon zig-mal gemacht und beim nächsten Systemstart (auch abgesichert) ist zumindest die mszx23.exe wieder da!!!

Cidre · 31.01.2005, 18:30

Zitat:

das habe ich schon zig-mal gemacht und beim nächsten Systemstart (auch abgesichert) ist zumindest die mszx23.exe wieder da!!!

Hast du mein Post nicht gelesen oder verstanden?

cratchy · 31.01.2005, 19:01

ja doch hab ich gelesen. bin jetzt auch mittlerweile deiner meinung und will formatieren.
aber wie? verdammt! hab ne XP-recovery-cd und finde da keinen eintrag zu formatieren!!! bin ich blöd? oder gibt's nen trick?

danke schonmal.

Rene-gad · 31.01.2005, 19:06

@cratchy

Zitat:

hab ne XP-recovery-cd und finde da keinen eintrag zu formatieren!!! bin ich blöd?

Nee, bist du nicht

. Du musst einfach Win in ein neues Systemverzeichnis Installieren (bei Default ist es C:\Windows.0). Das alte Verzeichnis musst du nach der Neuinstallation löschen. Es ist ein wenig aufwendig, denn die Unterordner sich zum Teil schreibgeschützt. Und bevor du das System neu aufspielst, leere die Papirkörbe, denn danach bekommst zu denen keinen Zugriff.
Bei einer Recovery-CD muss man die Wiederherstellungskonsole installieren, um neu formatieren zu können.

29.01.2005, 20:59	#3
Cidre Administrator, a.D.	mszx23.exe "Backdoor.Win32.Haxdoor.bh" Hallo, dein System ist ziemlich durchseucht. Hier findest du eine Lösung -> http://www.trojaner-board.de/showpos...2&postcount=12 __________________ __________________

mszx23.exe "Backdoor.Win32.Haxdoor.bh"

Plagegeister aller Art und deren Bekämpfung: mszx23.exe "Backdoor.Win32.Haxdoor.bh"