sndu32.dll, sndu64.sys, Win32/Haxdoor Trojaner

startseite Gastbuch Kontakt
sndu32.dll sndu64.sys
sndu32.dll, sndu64.sys

sndu32.dll, sndu64.sys, Win32/Haxdoor Trojaner


Removal-Tool Haxdoor -> Removal-Tool Haxdoor

UnHackMe Unhackme

RootkitRevealer

C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API.


Killbox

C:\WINDOWS\System32\Drivers\sysbus32.sys
C:\WINDOWS\SYSTEM32\SNDU64.SYS
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\SYSTEM32\sndu32.dll
C:\WINDOWS\SYSTEM32\msupdate32.dll
C:\WINDOWS\SYSTEM32\ps.a3d


HijackThis

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll



F-Secure Blacklight

Zitat
der link zu blacklight geht bei mir nicht. der öffnet ne microsoft seite, die mir dann sagt, dass er keinen eintrag findet, der mit "blacklight" übereinstimmt. ed: wenn ich über den google-link auf die f-secure seite gehe, gehts. aber ich kann die trial nicht runterladen, weil: "The system cannot find the file specified."

aber ich komm nicht auf die f-secure und virustotal seiten. der ersetzt immer durch microsoft, (also http://www.f-secure.com/blacklight/ wird zu http://www.microsoft.com/blacklight/ )


regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

sndu32

sndu64


Winpfind

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32
= sndu32.dll


l2mfix

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32]
"secureUID"="[10143350086985862174]"
"DllName"=hex(2):73,00,6e,00,64,00,75,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="MMXChckIDT"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001


normalerweise auch vorhanden: sysbus32_sys

Link: sysbus32_sys


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32]



Killbox

C:\WINDOWS\system32\sndu32.dll
C:\WINDOWS\system32\sndu64.sys
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\SYSTEM32\msupdate32.dll
C:\WINDOWS\SYSTEM32\ps.a3d


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten--> suchen--> SNDU32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU32

bearbeiten--> suchen--> SNDU64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64

bearbeiten--> suchen--> SYSBUS32


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32

C:\WINDOWS\SYSTEM32\SNDU64.SYS

Antivirus Version Update Result

AntiVir 6.33.0.81 02.06.2006 BDS/Haxdoor.GK
AVG 718 02.04.2006 BackDoor.Generic2.GBD
Avira 6.33.0.81 02.06.2006 BDS/Haxdoor.GK
ClamAV devel-20060126 02.05.2006 Trojan.Haxdoor.F
DrWeb 4.33 02.06.2006 BackDoor.Haxdoor.196


anderer PC

HijackThis

O1 - Hosts: a:link { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; }
O1 - Hosts: a:visited { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; }
O1 - Hosts: table bgcolor=#ffffff link=#0000ee vlink=#0000ee text=#000000 border=0 align="center" width="100%

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

20.04.2006 12:44 8 tnstt.a3d -> Haxdoor
19.04.2006 14:38 17.698.816 HXJJN
04.04.2006 10:43 1.151 ikhcore.log
02.04.2006 12:08 2.154 ssmute.ini
02.04.2006 11:18 4.608 taskdir.dll
02.04.2006 11:18 51.616 parad.raw.exe
02.04.2006 11:18 5.120 gbbe.dll
02.04.2006 11:18 0 bin29a.log

Verzeichnis von C:\WINDOWS

02.04.2006 11:33 438 dembat.tm
02.04.2006 11:18 0 emdat.tm

Verzeichnis von C:\

02.04.2006 11:18 0 exit
02.04.2006 11:18 1.024 tool4.exe
02.04.2006 11:18 1.024 tool5.exe
02.04.2006 11:18 1.024 tool1.exe
02.04.2006 11:18 1.024 toolbar.exe
02.04.2006 11:18 3.072 ms1.exe
02.04.2006 11:18 1.024 country.exe
02.04.2006 11:18 3.051 secure32.html
02.04.2006 11:17 70.144 kl1.exe
02.04.2006 11:17 32.768 tool2.exe
02.04.2006 11:17 32.768 winstall.exe
02.04.2006 11:17 0 uniq


RootkitRevealer

C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API.


Avenger

Files to delete:
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qm.dll
C:\WINDOWS\system32\qm.sys
C:\WINDOWS\system32\sndu32.dll
C:\WINDOWS\system32\sndu64.sys
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\tnstt.a3d
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\ssmute.ini
C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\parad.raw.exe
C:\WINDOWS\system32\gbbe.dll
C:\WINDOWS\system32\bin29a.log
C:\WINDOWS\RtlRack.ini
C:\WINDOWS\dembat.tm
C:\WINDOWS\emdat.tm
C:\WINDOWS\exit
C:\tool4.exe
C:\tool5.exe
C:\tool1.exe
C:\toolbar.exe
C:\ms1.exe
C:\country.exe
C:\secure32.html
C:\kl1.exe
C:\tool2.exe
C:\winstall.exe
C:\uniq



20.04.2006 12:44 8 tnstt.a3d -> Haxdoor

http://www.symantec.com/avcenter/venc/data/backdoor.haxdoor.i.html


Kaspersky - Online

C:\Program Files\paytime.exe Infected: Trojan.Win32.StartPage.adi
C:\Program Files\secure32.html Infected: Trojan.Win32.Harnig.k

C:\WINDOWS\Downloaded Program Files\ysbactivex.dll Infected: Trojan-Downloader.Win32.IstBar.gen skipped

C:\WINDOWS\system\ctldlg32.dll Infected: Trojan-Spy.Win32.Agent.lv

C:\System Volume Information\_restore{DE32C5B7-8F71-4D54-9138-B39A4DE1C776}\RP162\A0022924.sys Infected: Backdoor.Win32.Haxdoor.ih skipped

-----------

C:\avenger\backup.zip/avenger/gbbe.dll Infected: Trojan-Spy.Win32.Banker.akf skipped
C:\avenger\backup.zip/avenger/kl1.exe Infected: Trojan-Dropper.Win32.Small.amd skipped
C:\avenger\backup.zip/avenger/ms1.exe Infected: Trojan-Downloader.Win32.Small.cpa skipped
C:\avenger\backup.zip/avenger/parad.raw.exe Infected: Packed.Win32.Tibs skipped
C:\avenger\backup.zip/avenger/secure32.html Infected: Trojan.Win32.Harnig.k skipped
C:\avenger\backup.zip/avenger/taskdir.dll Infected: Trojan-Proxy.Win32.Lager.aq skipped
C:\avenger\backup.zip/avenger/tool2.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped
C:\avenger\backup.zip/avenger/winstall.exe Infected: not-virus:Hoax.Win32.Renos.ca




anderer PC

c:\windows\system32\config\ssl - Goldun.Fam Trojan
c:\windows\system32\tnstt.a3d - Haxdoor.Fam Backdoor


HijackThis

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu32.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu64.sys


08/07/06 22:35:47 [Info]: Hidden process: C:\WINDOWS\explorer.exe
08/07/06 22:35:47 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
08/07/06 22:36:38 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
08/07/06 22:36:43 [Info]: Hidden file: c:\WINDOWS\system32\tnstt.a3d
08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu32.dll
08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu64.sys
08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.dll
08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.sys
08/07/06 22:36:47 [Info]: Hidden file: c:\WINDOWS\system32\stt82.ini
08/07/06 22:36:48 [Info]: Hidden file: c:\WINDOWS\system32:12903


Verzeichnis von C:\WINDOWS

06.05.2006 14:24 0 secure32.html
06.05.2006 14:24 0 degbes.exe
06.05.2006 14:24 0 de.exe
06.05.2006 14:24 0 uniq

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

14.04.2006 11:46 61.952 ibm00002.dll
06.05.2006 13:45 68.096 ibm00003.dll
06.05.2006 13:45 62.464 ibm00004.dll

Verzeichnis von C:\WINDOWS\system32

07.08.2006 17:25 186 ps.a3d

----------------------------------------

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winstall"
"hkey"="HKCU"
"command"="C:\\winstall.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="paytime"
"hkey"="HKLM"
"command"="C:\\Program Files\\paytime.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\shell]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ibm00003"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00003.exe\""
"inimapping"="0"






Valid HTML 4.01 Ranking-Hits