|
Plagegeister aller Art und deren Bekämpfung: Problem Mit Troj/Haxdoor-LWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.06.2005, 17:52 | #1 |
| Problem Mit Troj/Haxdoor-L Ich habe diesen Troj/Haxdoor-L auf meinem Computer und bekomme ihn leider nicht mehr weg! Ich habe es schon im Abgesicherten Modus und in der Eingabe aufforderung versucht! Und Windows überinsterliert aber es hilft leider nicht! Die Datein sind einfach nicht da! Und wenn ich in der Suchmaschiene suche nach einer Datei und er durschsucht im Windows/System32 oder wenn ich einfach nur in den Ordner gehe kommt ein Blauer Bildschirm Aus Sicherheitsgründen muss ihr pc..... Wenn der Fehler beim neustart bleibt deinsterlieren sie Software... Der Fehler wurde von der Datei Vdnt32.sys Verursacht..... Ich weiss ausserdem noch das ich die Datei draw32.dll und Klogini.dll, p2.ini und vdnt32.exe draufhabe! Kann mir jemand weiterheflen das wegzubekommen ohne die Festplatte zu formatieren! Es ist mir eigentlich egal ob mein Pc dann noch angegriffen werden kann da ich momentan eh nur Internet bei meinen Freunden habe! Hauptsach ich kann wieder in den Ordner gehen, denn das ist mir sehr wichtig weil ich mit Vb programieren und Componenten einbinden möchte da er da immer im System32 Ordner guckt ist das leider nicht möglich! Und in der Suchmaschiene wollte ich auch gerne Suchen Vielen Dank vorraus!!! |
13.06.2005, 18:13 | #2 |
Administrator, a.D. | Problem Mit Troj/Haxdoor-L__________________
__________________ |
14.06.2005, 19:39 | #3 |
| Problem Mit Troj/Haxdoor-L Na toll.... eigentlich wollte ich ja nicht so gerne formatieren! Ist es nicht möglich den irgendwie zu löschen... Oder einfach irgendwie zu überwachen... So das ich wieder in den Windows/system32 ordner gehen kann?
__________________ |
14.06.2005, 19:57 | #4 | |
Administrator, a.D. | Problem Mit Troj/Haxdoor-L Nein, es bringt die Vertrauenswürdigkeit nicht zurück. In der Anleitung wird diese Frage ebenfalls mit Nein beantwortet. Zitat:
|
15.06.2005, 15:11 | #5 |
| Problem Mit Troj/Haxdoor-L Ich habe es jetz selber hinbekommen wenn man die Windows Cd einlegt kann man da mit R windows reparieren machen. Und dann habe ich da die Datein gelöscht von dem Virus jetz kann ich wieder inner Suchmaschiene suchen und alles andere. Sogar manche Spiele konnte ich nicht mehr insterlieren aber geht jetz auch wieder! Trotzdem danke! |
15.06.2005, 15:32 | #6 | ||
| Problem Mit Troj/Haxdoor-L Hi, Zitat:
Zitat:
Na dann bis zu einem fröhlichen Wiedersehen :aplaus:
__________________ --> Problem Mit Troj/Haxdoor-L |
15.06.2005, 15:40 | #7 |
| Problem Mit Troj/Haxdoor-L @Stormy33 Dir ist klar, dass du Teil eines Netzwerkes bist und mit deiner Virenschleuder dazu beiträgst, dass andere PCs infiziert werden? Dir ist klar, dass 'dein' PC zum Versand illegalen Materials (Nazi-Spam usw.) missbraucht werden kann? Dir ist klar, dass 'dein' PC auch für andere illegale Aktivitäten (DOS-Attacken) missbraucht werden kann? Dir ist klar, dass viele Schädlinge eine Reparaturinstallation überleben? Dir ist klar, dass das System nicht mehr vertrauenswürdig ist? Das wollte ich nur nochmal klarstellen... |
15.06.2005, 17:50 | #8 |
| Problem Mit Troj/Haxdoor-L Ich habe mal irgendwo gelesen das der Virus keine Windows Datein ersetzt.... weiss jetz leider nicht mehr wo! Er hat sich aber als Dienst eingetragen deswegen hat er immer überall mitgestartet also würde ich jetz denken das mein Computer wieder sicher ist! |
15.06.2005, 17:51 | #9 |
| Problem Mit Troj/Haxdoor-L Der hat nämlich auch geschrieben das er das hatte und er das so weggekriegt hatte und danach keine Probleme mehr hatte! |
15.06.2005, 17:53 | #10 | |
Moderator, a.D. | Problem Mit Troj/Haxdoor-LZitat:
Gruß Yopie |
15.06.2005, 18:00 | #11 |
| Problem Mit Troj/Haxdoor-L Genau das konnte der habe ich eben mal gefunden aber das wo der eine gesagt hat das dann sein pc sicher war habe ich noch nicht gefunden.... Haxdoor ist ein leistungsstarkes Schleusenprogramm mit Rootkit-Funktionalität. Das Programm kann sein Vorhandensein (Prozesse und Dateien) in einem infizierten System verbergen; zu entdecken ist es nur durch Virenschutz-Programme mit Kernel-Treibern und durch Rootkit-Detektoren (wie z. B. F-Secure BlackLight). Dieses Schleusenprogramm verfügt über Spionagefähigkeiten, und Berichten zufolge wurden mit diesem Programm in letzter Zeit bankbezogene Informationen (Logins und Passwörter für Online-Bankkonten) und andere Daten ausgespäht. VARIANT: Backdoor.Win32.Haxdoor.al Detaillierte Beschreibung Bei der Ausführung des Schleusenprogramms werden im Verborgenen 7 Dateien im Windows-Systemverzeichnis abgelegt: cm.dll draw32.dll hm.sys memlow.sys vdnt32.sys vtd_16.exe wd.sys Aktiviert werden diese Dateien erst beim nächsten Booten. Wenn das Schleusenprogramm aktiv ist, sind alle Dateien verborgen. Darüber hinaus versucht das Schleusenprogramm, seinen Code in den Windows Explorer-Prozess einzuschleusen, und verbirgt sowohl 'Explorer.exe'- als auch 'Winlogon.exe'-Prozesse. Mit unserem BlackLight Rootkit Eliminator kann das Schleusenprogramm jedoch aufgestöbert und erfolgreich beseitigt werden. Die Datei 'vtd_16.exe' ist eine Windows-CMD.EXE und wird vom Schleusenprogramm als Köder ausgeführt (der Name des Schleusenprogramms lautet CMD.EXE, also betreibt es einen Befehlsinterpreter, um seine Aktivitäten zu verbergen). Die Dateien 'cm.dll' und 'draw32.dll' sind identisch. Sie stellen die Hauptkomponente des Schleusenprogramms dar. Der Winlogon-Benachrichtigungsschlüssel für die Datei 'draw32.dll' wird in die Registrierung eingefügt: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32] Dadurch kann das Schleusenprogramm ausgeführt werden, sobald sich ein Anwender einloggt. Diese Methode des Programmstarts ist bei Malware ziemlich selten zu finden. Das Schleusenprogramm ist recht leistungsstark (siehe unten) und verfügt über Möglichkeiten, Passwörter auszuspionieren. Das Programm enthält die folgenden Zeichenketten und kann Login- und Passwort-Informationen von Anwendern verschiedener Onlinebanken und Zahlungssysteme ausspähen. bank banq trade merchant moneybookers VeriSign authorize sgcyprus coopcb fbme banc gold business citi ikobo HSBC halifax alpha.gr cdb Barclays Zusätzlich kann das Programm folgende Informationen stehlen: POP3-Kennwort POP3-Servername POP3-Benutzername IMAP-Kennwort IMAP-Servername IMAP-Benutzername Das Schleusenprogramm kann auch im Cache-Speicher abgelegte Miranda ICQ-, Mdialer- und Webmoney-Passwörter sowie Mdialer- und RAS-Telefonnummern und andere RAS-bezogene Informationen (Benutzername, Passwort, Domain, DNS-Einstellungen) ausspähen. Alle gestohlenen Daten werden per E-Mail an die Adresse 'corpse@mailserver.ru' gesendet. Das Programm kann auch eine Verbindung zu einer Website mit einem speziell eingerichteten URL herstellen, um einen Hacker zu benachrichtigen; auch der Datenversand an eine Website ist möglich. Der Name der Website wird durch den Hacker konfiguriert. Das Schleusenprogramm kann folgende Internet Explorer-Einstellungen modifizieren: Seite durchsuchen Lokale Seite Startseite Erste Homepage Standardsuche URL Das Schleusenprogramm kann über einen IRC-Bot gesteuert werden. Im aktiven Zustand tritt das Schleusenprogramm dem '#corpse'-Kanal auf dem Server 'irc.localirc.net' bei. Das Programm unterstützt mehrere Befehle, mit denen ein Hacker folgende Aktionen ausführen kann: einem Kanal beitreten Bot beenden Pseudonym ändern Dateien ausführen Dateien herunterladen ein Schleusenprogramm starten ein Proxy starten eine DDOS-Attacke starten Informationen über lokale Laufwerke einholen E-Mails versenden Verzeichnisse anzeigen Dateien suchen einen Computer neu starten Informationen über einen Anwender einholen die Datei des Schleusenprogramms von einem Webserver aus aktualisieren Als Payload-Routine kann das Programm bestimmte Firewalls abschalten und folgende Prozesse beenden: zapro.exe vsmon.exe jamapp.exe atrack.exe iamapp.exe FwAct.exe mpfagent.exe outpost.exe zlclient.exe mpftray.exe Nebenbei kann das Schleusenprogramm dem Anwender auch noch „lustige“ Streiche spielen, etwa die CD-ROM-Schublade öffnen und schließen. |
15.06.2005, 18:03 | #12 |
| Problem Mit Troj/Haxdoor-L Da haben wir etwas ähnliches er hatte auch das problem ist von CHIP Also, ich bin ihn los. Der Virus legt ein paar nette log files an...man findet sie unter windows/system32 als neue Dateien. Zum Beispiel klo5.log- ein kompletter key log. Und in ps.a3d stehen alle Informationen über Passwörter aus dem internet explorer... Also, neu angelegte Dateien in windows/system32 : klo5.log klogini.dll p2.ini draw32.dll ps.a3d vtd16.exe memlow.sys vdnt32.sys Beseitigung: - In der registry nach vtd_16 suchen und Eintrag entfernen - mit Strg-Alt-Del die Dienste aufrufen und vtd_16.exe töten - danach alle oben genannten Dateien löschen - dann Neustart, eventuell verbleibene Reste noch mal löschen und dann beim 2. Neustart sollte alles sauber sein. |
15.06.2005, 18:07 | #13 | |
Moderator, a.D. | Problem Mit Troj/Haxdoor-LZitat:
Das Chip etwas anderes sagt, ist ein Grund mehr, neu aufzusetzen! Wenn du nicht formatieren willst, dann verschwinde bitte aus dem Internet! Für mich eod. Gruß Yopie |
15.06.2005, 18:15 | #14 |
| Problem Mit Troj/Haxdoor-LIch Formatiere meinen Computer nicht einfach so! Dann zeig mir einen Beweiss dafür das er Windows datein ersetzt oder andere böse Dinge die nach dem Löschen noch bleiben und zeig mir bitte von welcher Seite du das hast, dann glaube ich dir und formatiere! Habe nämlich viele wichtige Programme auf meinem Computer die ich leider nicht mehr auf Cd habe! Des wegen möchte ich nämlich nicht so gerne Formatieren! |
15.06.2005, 18:21 | #15 | ||
Moderator, a.D. | Problem Mit Troj/Haxdoor-L Das ist ein Backdoor, und der kann u.a. Zitat:
Steht aber auch alles auf http://www.trojaner-board.de/showthread.php?t=12154 , deswegen verstehe ich nicht, warum man dir das nochmal vorbeten muss. Zitat:
Gruß Yopie |
Themen zu Problem Mit Troj/Haxdoor-L |
.dll, abgesicherten, abgesicherten modus, aus sicherheitsgründen, bildschirm, bildschirm aus, blauer, blauer bildschirm, computer, datei, einbinden, einfach, fehler, festplatte, formatieren, freunde, guckt, internet, modus, neustart, nicht mehr, nicht möglich, ordner, platte, problem, sicherheitsgründe, sicherheitsgründen, suche, tan, wichtig, windows |