ja gut trotzdem danke!

Genau das konnte der habe ich eben mal gefunden aber das wo der eine gesagt hat das dann sein pc sicher war habe ich noch nicht gefunden....


Haxdoor ist ein leistungsstarkes Schleusenprogramm mit Rootkit-Funktionalität. Das Programm kann sein Vorhandensein (Prozesse und Dateien) in einem infizierten System verbergen; zu entdecken ist es nur durch Virenschutz-Programme mit Kernel-Treibern und durch Rootkit-Detektoren (wie z. B. F-Secure BlackLight).

Dieses Schleusenprogramm verfügt über Spionagefähigkeiten, und Berichten zufolge wurden mit diesem Programm in letzter Zeit bankbezogene Informationen (Logins und Passwörter für Online-Bankkonten) und andere Daten ausgespäht.

VARIANT: Backdoor.Win32.Haxdoor.al


Detaillierte Beschreibung


Bei der Ausführung des Schleusenprogramms werden im Verborgenen 7 Dateien im Windows-Systemverzeichnis abgelegt:


cm.dll
draw32.dll
hm.sys
memlow.sys
vdnt32.sys
vtd_16.exe
wd.sys

Aktiviert werden diese Dateien erst beim nächsten Booten. Wenn das Schleusenprogramm aktiv ist, sind alle Dateien verborgen. Darüber hinaus versucht das Schleusenprogramm, seinen Code in den Windows Explorer-Prozess einzuschleusen, und verbirgt sowohl 'Explorer.exe'- als auch 'Winlogon.exe'-Prozesse. Mit unserem BlackLight Rootkit Eliminator kann das Schleusenprogramm jedoch aufgestöbert und erfolgreich beseitigt werden.

Die Datei 'vtd_16.exe' ist eine Windows-CMD.EXE und wird vom Schleusenprogramm als Köder ausgeführt (der Name des Schleusenprogramms lautet CMD.EXE, also betreibt es einen Befehlsinterpreter, um seine Aktivitäten zu verbergen).

Die Dateien 'cm.dll' und 'draw32.dll' sind identisch. Sie stellen die Hauptkomponente des Schleusenprogramms dar. Der Winlogon-Benachrichtigungsschlüssel für die Datei 'draw32.dll' wird in die Registrierung eingefügt:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32]

Dadurch kann das Schleusenprogramm ausgeführt werden, sobald sich ein Anwender einloggt. Diese Methode des Programmstarts ist bei Malware ziemlich selten zu finden.

Das Schleusenprogramm ist recht leistungsstark (siehe unten) und verfügt über Möglichkeiten, Passwörter auszuspionieren. Das Programm enthält die folgenden Zeichenketten und kann Login- und Passwort-Informationen von Anwendern verschiedener Onlinebanken und Zahlungssysteme ausspähen.


bank
banq
trade
merchant
moneybookers
VeriSign
authorize
sgcyprus
coopcb
fbme
banc
gold
business
citi
ikobo
HSBC
halifax
alpha.gr
cdb
Barclays

Zusätzlich kann das Programm folgende Informationen stehlen:


POP3-Kennwort
POP3-Servername
POP3-Benutzername
IMAP-Kennwort
IMAP-Servername
IMAP-Benutzername

Das Schleusenprogramm kann auch im Cache-Speicher abgelegte Miranda ICQ-, Mdialer- und Webmoney-Passwörter sowie Mdialer- und RAS-Telefonnummern und andere RAS-bezogene Informationen (Benutzername, Passwort, Domain, DNS-Einstellungen) ausspähen.

Alle gestohlenen Daten werden per E-Mail an die Adresse 'corpse@mailserver.ru' gesendet. Das Programm kann auch eine Verbindung zu einer Website mit einem speziell eingerichteten URL herstellen, um einen Hacker zu benachrichtigen; auch der Datenversand an eine Website ist möglich. Der Name der Website wird durch den Hacker konfiguriert.

Das Schleusenprogramm kann folgende Internet Explorer-Einstellungen modifizieren:


Seite durchsuchen
Lokale Seite
Startseite
Erste Homepage
Standardsuche URL

Das Schleusenprogramm kann über einen IRC-Bot gesteuert werden. Im aktiven Zustand tritt das Schleusenprogramm dem '#corpse'-Kanal auf dem Server 'irc.localirc.net' bei. Das Programm unterstützt mehrere Befehle, mit denen ein Hacker folgende Aktionen ausführen kann:


einem Kanal beitreten
Bot beenden
Pseudonym ändern
Dateien ausführen
Dateien herunterladen
ein Schleusenprogramm starten
ein Proxy starten
eine DDOS-Attacke starten
Informationen über lokale Laufwerke einholen
E-Mails versenden
Verzeichnisse anzeigen
Dateien suchen
einen Computer neu starten
Informationen über einen Anwender einholen
die Datei des Schleusenprogramms von einem Webserver aus aktualisieren

Als Payload-Routine kann das Programm bestimmte Firewalls abschalten und folgende Prozesse beenden:


zapro.exe
vsmon.exe
jamapp.exe
atrack.exe
iamapp.exe
FwAct.exe
mpfagent.exe
outpost.exe
zlclient.exe
mpftray.exe

Nebenbei kann das Schleusenprogramm dem Anwender auch noch „lustige“ Streiche spielen, etwa die CD-ROM-Schublade öffnen und schließen.

Da haben wir etwas ähnliches er hatte auch das problem ist von CHIP

Also, ich bin ihn los.
Der Virus legt ein paar nette log files an...man findet sie unter windows/system32 als neue Dateien. Zum Beispiel klo5.log- ein kompletter key log. Und in ps.a3d stehen alle Informationen über Passwörter aus dem internet explorer...
Also, neu angelegte Dateien in windows/system32 :
klo5.log
klogini.dll
p2.ini
draw32.dll
ps.a3d
vtd16.exe
memlow.sys
vdnt32.sys

Beseitigung:
- In der registry nach vtd_16 suchen und Eintrag entfernen
- mit Strg-Alt-Del die Dienste aufrufen und vtd_16.exe töten
- danach alle oben genannten Dateien löschen
- dann Neustart, eventuell verbleibene Reste noch mal löschen und dann beim 2. Neustart sollte alles sauber sein.

Zitat:

Zitat von Stormy33

Genau das konnte der

Alles in allem eine schöne Auflistung von Gründen, den Rechner asap vom Netz zu nehmen und neu aufzusetzen!

Das Chip etwas anderes sagt, ist ein Grund mehr, neu aufzusetzen!

Wenn du nicht formatieren willst, dann verschwinde bitte aus dem Internet!

Für mich eod.

Gruß
Yopie