Online-Scanner       Virenscanner       Gästebuch       Kontakt       Protecus.de Forum       Virus Weltkarte       Impressum       Datenschutz






sndu32.dll, sndu64.sys, Win32/Haxdoor Trojaner

** Removal-Tool Haxdoor anwenden Removal-Tool Haxdoor

** UnHackMe anwenden: Unhackme

** RootkitRevealer anwenden: RootkitRevealer

C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API.


Killbox (Beispiel)

C:\WINDOWS\System32\Drivers\sysbus32.sys
C:\WINDOWS\SYSTEM32\SNDU64.SYS
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\SYSTEM32\sndu32.dll
C:\WINDOWS\SYSTEM32\msupdate32.dll
C:\WINDOWS\SYSTEM32\ps.a3d

HijackThis

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll



F-Secure Blacklight anwenden

Zitat
der link zu blacklight geht bei mir nicht. der öffnet ne microsoft seite, die mir dann sagt, dass er keinen eintrag findet, der mit "blacklight" übereinstimmt. ed: wenn ich über den google-link auf die f-secure seite gehe, gehts. aber ich kann die trial nicht runterladen, weil: "The system cannot find the file specified."

aber ich komm nicht auf die f-secure und virustotal seiten. der ersetzt immer durch microsoft, (also http://www.f-secure.com/blacklight/ wird zu http://www.microsoft.com/blacklight/ )


regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

sndu32

sndu64


Winpfind

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32
= sndu32.dll


l2mfix

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32]
"secureUID"="[10143350086985862174]"
"DllName"=hex(2):73,00,6e,00,64,00,75,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="MMXChckIDT"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001


normalerweise auch vorhanden: sysbus32_sys

Link: sysbus32_sys


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sndu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sndu64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32]



Killbox (Beispiel)

C:\WINDOWS\system32\sndu32.dll
C:\WINDOWS\system32\sndu64.sys
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\SYSTEM32\msupdate32.dll
C:\WINDOWS\SYSTEM32\ps.a3d


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten--> suchen--> SNDU32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU32\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU32

bearbeiten--> suchen--> SNDU64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64

bearbeiten--> suchen--> SYSBUS32


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32
C:\WINDOWS\SYSTEM32\SNDU64.SYS

Antivirus Version Update Result

AntiVir 6.33.0.81 02.06.2006 BDS/Haxdoor.GK
AVG 718 02.04.2006 BackDoor.Generic2.GBD
Avira 6.33.0.81 02.06.2006 BDS/Haxdoor.GK
ClamAV devel-20060126 02.05.2006 Trojan.Haxdoor.F
DrWeb 4.33 02.06.2006 BackDoor.Haxdoor.196


anderer PC

HijackThis

O1 - Hosts: a:link { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; }
O1 - Hosts: a:visited { font-family: arial, verdana; font-sizw: 11px; color: #000000; text-decoration: none; }
O1 - Hosts: table bgcolor=#ffffff link=#0000ee vlink=#0000ee text=#000000 border=0 align="center" width="100%

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32

20.04.2006 12:44 8 tnstt.a3d -> Haxdoor
19.04.2006 14:38 17.698.816 HXJJN
04.04.2006 10:43 1.151 ikhcore.log
02.04.2006 12:08 2.154 ssmute.ini
02.04.2006 11:18 4.608 taskdir.dll
02.04.2006 11:18 51.616 parad.raw.exe
02.04.2006 11:18 5.120 gbbe.dll
02.04.2006 11:18 0 bin29a.log

Verzeichnis von C:\WINDOWS

02.04.2006 11:33 438 dembat.tm
02.04.2006 11:18 0 emdat.tm

Verzeichnis von C:\

02.04.2006 11:18 0 exit
02.04.2006 11:18 1.024 tool4.exe
02.04.2006 11:18 1.024 tool5.exe
02.04.2006 11:18 1.024 tool1.exe
02.04.2006 11:18 1.024 toolbar.exe
02.04.2006 11:18 3.072 ms1.exe
02.04.2006 11:18 1.024 country.exe
02.04.2006 11:18 3.051 secure32.html
02.04.2006 11:17 70.144 kl1.exe
02.04.2006 11:17 32.768 tool2.exe
02.04.2006 11:17 32.768 winstall.exe
02.04.2006 11:17 0 uniq


RootkitRevealer

C:\WINDOWS\system32\klgcptini.dat 13.04.2006 01:24 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\qm.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\qm.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu32.dll 18.04.2006 02:39 36.48 KB Hidden from Windows API.
C:\WINDOWS\system32\sndu64.sys 18.04.2006 02:39 20.58 KB Hidden from Windows API.
C:\WINDOWS\system32\stt82.ini 18.04.2006 02:39 320 bytes Hidden from Windows API.


Avenger (Beispiel)

Files to delete:
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qm.dll
C:\WINDOWS\system32\qm.sys
C:\WINDOWS\system32\sndu32.dll
C:\WINDOWS\system32\sndu64.sys
C:\WINDOWS\system32\stt82.ini
C:\WINDOWS\system32\tnstt.a3d
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\ssmute.ini
C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\parad.raw.exe
C:\WINDOWS\system32\gbbe.dll
C:\WINDOWS\system32\bin29a.log
C:\WINDOWS\RtlRack.ini
C:\WINDOWS\dembat.tm
C:\WINDOWS\emdat.tm
C:\WINDOWS\exit
C:\tool4.exe
C:\tool5.exe
C:\tool1.exe
C:\toolbar.exe
C:\ms1.exe
C:\country.exe
C:\secure32.html
C:\kl1.exe
C:\tool2.exe
C:\winstall.exe
C:\uniq



20.04.2006 12:44 8 tnstt.a3d -> Haxdoor

http://www.symantec.com/avcenter/venc/data/backdoor.haxdoor.i.html


Kaspersky - Online

C:\Program Files\paytime.exe Infected: Trojan.Win32.StartPage.adi
C:\Program Files\secure32.html Infected: Trojan.Win32.Harnig.k

C:\WINDOWS\Downloaded Program Files\ysbactivex.dll Infected: Trojan-Downloader.Win32.IstBar.gen skipped

C:\WINDOWS\system\ctldlg32.dll Infected: Trojan-Spy.Win32.Agent.lv

C:\System Volume Information\_restore{DE32C5B7-8F71-4D54-9138-B39A4DE1C776}\RP162\A0022924.sys Infected: Backdoor.Win32.Haxdoor.ih skipped

-----------

C:\avenger\backup.zip/avenger/gbbe.dll Infected: Trojan-Spy.Win32.Banker.akf skipped
C:\avenger\backup.zip/avenger/kl1.exe Infected: Trojan-Dropper.Win32.Small.amd skipped
C:\avenger\backup.zip/avenger/ms1.exe Infected: Trojan-Downloader.Win32.Small.cpa skipped
C:\avenger\backup.zip/avenger/parad.raw.exe Infected: Packed.Win32.Tibs skipped
C:\avenger\backup.zip/avenger/secure32.html Infected: Trojan.Win32.Harnig.k skipped
C:\avenger\backup.zip/avenger/taskdir.dll Infected: Trojan-Proxy.Win32.Lager.aq skipped
C:\avenger\backup.zip/avenger/tool2.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped
C:\avenger\backup.zip/avenger/winstall.exe Infected: not-virus:Hoax.Win32.Renos.ca


anderer PC

c:\windows\system32\config\ssl - Goldun.Fam Trojan
c:\windows\system32\tnstt.a3d - Haxdoor.Fam Backdoor


HijackThis

O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu32.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sndu64.sys


08/07/06 22:35:47 [Info]: Hidden process: C:\WINDOWS\explorer.exe
08/07/06 22:35:47 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
08/07/06 22:36:38 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
08/07/06 22:36:43 [Info]: Hidden file: c:\WINDOWS\system32\tnstt.a3d
08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu32.dll
08/07/06 22:36:44 [Info]: Hidden file: c:\WINDOWS\system32\sndu64.sys
08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.dll
08/07/06 22:36:46 [Info]: Hidden file: c:\WINDOWS\system32\qm.sys
08/07/06 22:36:47 [Info]: Hidden file: c:\WINDOWS\system32\stt82.ini
08/07/06 22:36:48 [Info]: Hidden file: c:\WINDOWS\system32:12903


Verzeichnis von C:\WINDOWS

06.05.2006 14:24 0 secure32.html
06.05.2006 14:24 0 degbes.exe
06.05.2006 14:24 0 de.exe
06.05.2006 14:24 0 uniq

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

14.04.2006 11:46 61.952 ibm00002.dll
06.05.2006 13:45 68.096 ibm00003.dll
06.05.2006 13:45 62.464 ibm00004.dll

Verzeichnis von C:\WINDOWS\system32

07.08.2006 17:25 186 ps.a3d

----------------------------------------

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winstall"
"hkey"="HKCU"
"command"="C:\\winstall.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="paytime"
"hkey"="HKLM"
"command"="C:\\Program Files\\paytime.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\shell]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ibm00003"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Web Folders\\ibm00003.exe\""
"inimapping"="0"







startseite


©virus-protect.org      
startseite Valid HTML 4.01 Ranking-Hits antispam