sndu32.dll
|
sndu32.dll, sndu64.sys, Win32/Haxdoor Trojaner** Removal-Tool Haxdoor anwenden Removal-Tool Haxdoor** UnHackMe anwenden: Unhackme ** RootkitRevealer anwenden: RootkitRevealer C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API. C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API. C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API. C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API. C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API. C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API. 
Killbox (Beispiel)
C:\WINDOWS\System32\Drivers\sysbus32.sys C:\WINDOWS\SYSTEM32\SNDU64.SYS C:\WINDOWS\system32\stt82.ini C:\WINDOWS\system32\klgcptini.dat C:\WINDOWS\SYSTEM32\sndu32.dll C:\WINDOWS\SYSTEM32\msupdate32.dll C:\WINDOWS\SYSTEM32\ps.a3d
HijackThis
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll O20 - Winlogon Notify: msupdate - msupdate32.dll
F-Secure Blacklight anwenden
Zitat
der link zu blacklight geht bei mir nicht. der öffnet ne microsoft seite, die mir dann
sagt, dass er keinen eintrag findet, der mit "blacklight" übereinstimmt.
ed: wenn ich über den google-link auf die f-secure seite gehe, gehts. aber ich kann
die trial nicht runterladen, weil: "The system cannot find the file specified."
aber ich komm nicht auf die f-secure und virustotal seiten. der ersetzt immer durch microsoft, (also http://www.f-secure.com/blacklight/ wird zu http://www.microsoft.com/blacklight/ )
Regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) sndu32 sndu64
Winpfind
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32 = sndu32.dll
L2mfix
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32] "secureUID"="[10143350086985862174]" "DllName"=hex(2):73,00,6e,00,64,00,75,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 00,00 "Startup"="MMXChckIDT" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 "MaxWait"=dword:00000001 normalerweise auch vorhanden: sysbus32_sys ** Link: sysbus32_sys ** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Killbox (Beispiel)
C:\WINDOWS\system32\sndu32.dll C:\WINDOWS\system32\sndu64.sys C:\WINDOWS\system32\stt82.ini C:\WINDOWS\system32\klgcptini.dat C:\WINDOWS\SYSTEM32\msupdate32.dll C:\WINDOWS\SYSTEM32\ps.a3d ** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ** Start -- Ausführen -- regedit (reinschreiben) Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. bearbeiten--> suchen--> SNDU32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU32 bearbeiten--> suchen--> SNDU64 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64 bearbeiten--> suchen--> SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32 C:\WINDOWS\SYSTEM32\SNDU64.SYSAntivirus Version Update ResultAntiVir 6.33.0.81 02.06.2006 BDS/Haxdoor.GK AVG 718 02.04.2006 BackDoor.Generic2.GBD Avira 6.33.0.81 02.06.2006 BDS/Haxdoor.GK ClamAV devel-20060126 02.05.2006 Trojan.Haxdoor.F DrWeb 4.33 02.06.2006 BackDoor.Haxdoor.196 anderer PC
HijackThis
O1 - Hosts: a:link { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; } O1 - Hosts: a:visited { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; } O1 - Hosts: table bgcolor=#ffffff link=#0000ee vlink=#0000ee text=#000000 border=0 align="center" width="100% O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32 20.04.2006 12:44 8 tnstt.a3d -> Haxdoor 19.04.2006 14:38 17.698.816 HXJJN 04.04.2006 10:43 1.151 ikhcore.log 02.04.2006 12:08 2.154 ssmute.ini 02.04.2006 11:18 4.608 taskdir.dll 02.04.2006 11:18 51.616 parad.raw.exe 02.04.2006 11:18 5.120 gbbe.dll 02.04.2006 11:18 0 bin29a.log Verzeichnis von C:\WINDOWS 02.04.2006 11:33 438 dembat.tm 02.04.2006 11:18 0 emdat.tm Verzeichnis von C:\ 02.04.2006 11:18 0 exit 02.04.2006 11:18 1.024 tool4.exe 02.04.2006 11:18 1.024 tool5.exe 02.04.2006 11:18 1.024 tool1.exe 02.04.2006 11:18 1.024 toolbar.exe 02.04.2006 11:18 3.072 ms1.exe 02.04.2006 11:18 1.024 country.exe 02.04.2006 11:18 3.051 secure32.html 02.04.2006 11:17 70.144 kl1.exe 02.04.2006 11:17 32.768 tool2.exe 02.04.2006 11:17 32.768 winstall.exe 02.04.2006 11:17 0 uniq
RootkitRevealer
C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API. C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API. C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API. C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API. C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API. C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API.
Avenger (Beispiel)
20.04.2006 12:44 8 tnstt.a3d -> Haxdoor ** http://www.symantec.com ** Kaspersky - Online C:\Program Files\paytime.exe Infected: Trojan.Win32.StartPage.adi C:\Program Files\secure32.html Infected: Trojan.Win32.Harnig.k C:\WINDOWS\Downloaded Program Files\ysbactivex.dll Infected: Trojan-Downloader.Win32.IstBar.gen skipped C:\WINDOWS\system\ctldlg32.dll Infected: Trojan-Spy.Win32.Agent.lv C:\System Volume Information\_restore{DE32C5B7-8F71-4D54-9138-B39A4DE1C776}\RP162\A0022924.sys Infected: Backdoor.Win32.Haxdoor.ih skipped ----------- C:\avenger\backup.zip/avenger/gbbe.dll Infected: Trojan-Spy.Win32.Banker.akf skipped C:\avenger\backup.zip/avenger/kl1.exe Infected: Trojan-Dropper.Win32.Small.amd skipped C:\avenger\backup.zip/avenger/ms1.exe Infected: Trojan-Downloader.Win32.Small.cpa skipped C:\avenger\backup.zip/avenger/parad.raw.exe Infected: Packed.Win32.Tibs skipped C:\avenger\backup.zip/avenger/secure32.html Infected: Trojan.Win32.Harnig.k skipped C:\avenger\backup.zip/avenger/taskdir.dll Infected: Trojan-Proxy.Win32.Lager.aq skipped C:\avenger\backup.zip/avenger/tool2.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped C:\avenger\backup.zip/avenger/winstall.exe Infected: not-virus:Hoax.Win32.Renos.ca anderer PC c:\windows\system32\config\ssl - Goldun.Fam Trojan c:\windows\system32\tnstt.a3d - Haxdoor.Fam Backdoor
HijackThis
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu32.sys HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu64.sys 08/07/06 22:35:47 [Info]: Hidden process: C:\WINDOWS\explorer.exe 08/07/06 22:35:47 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe 08/07/06 22:36:38 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat 08/07/06 22:36:43 [Info]: Hidden file: c:\WINDOWS\system32\tnstt.a3d 08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu32.dll 08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu64.sys 08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.dll 08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.sys 08/07/06 22:36:47 [Info]: Hidden file: c:\WINDOWS\system32\stt82.ini 08/07/06 22:36:48 [Info]: Hidden file: c:\WINDOWS\system32:12903
datfindbat
Verzeichnis von C:\WINDOWS 06.05.2006 14:24 0 secure32.html 06.05.2006 14:24 0 degbes.exe 06.05.2006 14:24 0 de.exe 06.05.2006 14:24 0 uniq Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 14.04.2006 11:46 61.952 ibm00002.dll 06.05.2006 13:45 68.096 ibm00003.dll 06.05.2006 13:45 62.464 ibm00004.dll Verzeichnis von C:\WINDOWS\system32 07.08.2006 17:25 186 ps.a3d [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winstall" "hkey"="HKCU" "command"="C:\\winstall.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="paytime" "hkey"="HKLM" "command"="C:\\Program Files\\paytime.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\shell] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ibm00003" "hkey"="HKCU" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00003.exe\"" "inimapping"="0" 
|
