|
|
Haxfix.exe
avpe32.dll,avpx32.dll,lanH32.dll - Haxdoor-Varianten
|
|
 zur Startseite
Sicherheitsforum: http://board.protecus.de
Haxdoor: xxxx.dll
Haxfix Haxdoor Removal
http://virus-protect.org/artikel/tools/haxfix.html
Rootkits erkennen
http://virus-protect.org/artikel/tools/rootkithook.html
F-Secure BlackLight
F-Secure BlackLight
RootkitRevealer
RootkitRevealer
Bck/Haxdoor -Varianten
03/26/06 22:30:35 [Info]: Hidden file: D:\WINDOWS\system32\avpe32.dll
Link: avpe32_haxdoor
03/26/06 22:30:35 [Info]: Hidden file: D:\WINDOWS\system32\avpe64.sys
03/26/06 22:30:36 [Info]: Hidden file: D:\WINDOWS\system32\klgcptini.dat
03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\stt82.ini
03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\qz.dll
03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\qz.sys
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
scan --> next none auf rename ändern
Dann lass Blacklight den Rechner neu starten.
|
Bck/Haxdoor.HH -> C:\Dokumente und Einstellungen\Username\Eigene Dateien\aswclnr.exe
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
Link: avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
C:\WINDOWS\system32\avpe32.dll
C:\WINDOWS\system32\avpe64.sys
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\WINDOWS\system32\stt82.ini
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
Link: Win32/Rootkit.Agent
C:\WINDOWS\system32\dvd4free.dll
C:\WINDOWS\system32\dvdkernl.sys
Troj/Haxdoor-AN
Link: trojhaxdooran
C:\WINDOWS\system32\sksdll.dll
C:\WINDOWS\system32\sks2drvr.sys
in der Registry
HKLM\SYSTEM\CurrentControlSet\Services\sks2drvr\
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\avpx32.dll
Link: avpx32_Haxdoor
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
Link: sndu_haxdoor
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
C:\DOKUME~1\User\LOKALE~1\Temp\fna10924.SYS
C:\DOKUME~1\User\LOKALE~1\Temp\fna10924.ini
C:\WINDOWS\system32\ps.a3d
O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll
O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
O20 - Winlogon Notify: Hints - E:\WINDOWS\system32\dPdrm.dll
O20 - Winlogon Notify: mmx4xt - E:\WINDOWS\SYSTEM32\mmx4xt.dll
O20 - Winlogon Notify: nkunpack - E:\WINDOWS\SYSTEM32\nkunpack.dll
O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll
O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
Link: xptptt_haxdoor
fux87.ini
klgcptini.dat
sd.dll
sd.sys
xptpmm.sys
xptptt.dll
C:\WINDOWS\system32\drivers\sysbus32.sys
|
Hijackthis
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32
03.03.2006 13:18 320 set87.ini
22.03.2006 14:56 897 ps.a3d
22.03.2006 13:08 88 error.a3d
22.03.2006 11:41 234.272 dPdrm.dll
22.03.2006 11:38 4.265 paytime.exe
18.02.2006 18:05 3.823.616 desk.exe
18.02.2006 17:24 964.096 sysdm.exe
16.02.2006 14:19 890.987 aurora_5xxx.scr
12.02.2006 20:43 5.642.680 aurora_4050.scr
Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp
03.03.2006 13:15 49.608 sysbus32.sys -> Link: sysbus32.sys
|
O20 - Winlogon Notify: pptp32 - C:\WINNT\SYSTEM32\pptp32.dll
Ich habe gestern versehentlich eine "postcard-email" kurz geöffnet (von post@postcard.com - betreff: You have received a postcard)
escan
C:\WINNT\SYSTEM32\PPTP64.SYS infected by Backdoor.Win32.Haxdoor.gt
C:\WINNT\ckilfxh.exe infected by Backdoor.Win32.Haxdoor.gh
C:\WINNT\system32\qz.dll infected by "Backdoor.Win32.Haxdoor.gh"
C:\WINNT\system32\rapilib.dx
C:\WINNT\system32\tmpf00.exe infected by "Backdoor.Win32.Haxdoor.gt"
C:\WINNT\system32\tmpf01.exe infected by "Backdoor.Win32.Haxdoor.gt"
avpe32.dll
im HijackThis zu sehen:
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
Link: avpe32_haxdoor
|
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
C:\WINDOWS\SYSTEM32\fux87.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\WINDOWS\system32\xptp16.dll
C:\WINDOWS\system32\xptp24.sys
Weitere Dateien, die auch Teil dieser Infektion sind:
C:\WINDOWS\SYSTEM32\klo5.sys
C:\WINDOWS\system32\ps.a3d
Folgende Dienste werden auf dem Computer installiert:
XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart)
XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)
|
O20 - Winlogon Notify: Hints - E:\WINDOWS\system32\dPdrm.dll
O20 - Winlogon Notify: mmx4xt - E:\WINDOWS\SYSTEM32\mmx4xt.dll
O20 - Winlogon Notify: nkunpack - E:\WINDOWS\SYSTEM32\nkunpack.dll
datfindbat
Verzeichnis von E:\WINDOWS\system32
22.03.2006 14:56 897 ps.a3d
22.03.2006 13:08 88 error.a3d
22.03.2006 13:01 3.064.459 kspydoc.log
22.03.2006 12:17 0 Sweeper.cfg
22.03.2006 11:41 234.272 dPdrm.dll
22.03.2006 11:38 4.265 paytime.exe
Verzeichnis von E:\WINDOWS
22.03.2006 12:54 1.035.264 explorer.exe
22.03.2006 12:07 225 DHCPUPG.LOG
22.03.2006 12:05 472 WINNT32.LOG
22.03.2006 11:39 780 hosts
22.03.2006 11:39 1.024 tool5.exe
22.03.2006 11:39 1.024 tool1.exe
22.03.2006 11:39 28.032 toolbar.exe
22.03.2006 11:38 3.072 secure32.html
22.03.2006 11:38 43.092 country.exe
22.03.2006 11:38 32.768 tool2.exe
Verzeichnis von E:\
03.03.2006 03:32 13.044 zl_tmp
03.03.2006 03:32 19.408 bin0.bin
03.03.2006 03:32 13.076 subafsfile0.bin
|
HijackThis
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
datfindbat
Verzeichnis von C:\WINDOWS\system32
22.03.2006 20:46 1.135 ps.a3d
21.03.2006 23:52 16.832 amcompat.tlb
21.03.2006 23:52 23.392 nscompat.tlb
19.03.2006 13:25 36 tickcnt.bin
17.03.2006 19:53 320 set87.ini
17.03.2006 14:39 0 klgcptini.dat
|
w32_ss.exe Trojan Haxdor.
Once launched, the program installs itself in the Windows system directory as
w32_ss.exe
debugg.dll - main module
sdmapi.sys
boot32.sys
c3.dll
c3.sys
c4.sys
In systems running Windows NT/2000/XP:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
DllName="debugg.dll"
Startup="MemManager"
Impersonate=1
Asynchronous=1
MaxWait=1
backdoor.haxdoor.d
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Secboot" = "w32tm.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
# %System%\w32tm.exe
# %System%\drct16.dll
# %System%\cz.dll
# %System%\vdmt16.sys
# %System%\hz.dll
# %System%\winlow.sys
# %System%\wz.dll
# %System%\p2.ini
xptptt.dll
xptptt_haxdoor
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
C:\WINDOWS\system32\drivers\sysbus32.sys
C:\WINDOWS\system32\fux87.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\sd.dll
C:\WINDOWS\system32\sd.sys
C:\WINDOWS\system32\xptpmm.sys
C:\WINDOWS\system32\xptptt.dll
seppgs.dll
seppgs_dll
O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
c:\WINDOWS\system32\qz.dll
c:\WINDOWS\system32\qz.sys
c:\WINDOWS\system32\seppgm.sys
c:\WINDOWS\system32\seppgs.dll
c:\WINDOWS\system32\rdriv.sys
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight
06/18/06 16:10:33 [Info]: Hidden file: c:\WINDOWS\system32\83ghh.ini
06/18/06 16:10:29 [Info]: Hidden process: C:\WINDOWS\MSmedia.exe
06/18/06 16:10:33 [Info]: Hidden file: c:\WINDOWS\system32\aaaxcfdwq.dat
06/18/06 16:10:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\seppgm.sys
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\seppgs.dll
Backdoor.Win32.Agobot.afk
Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den Editor....
Dann kopiere folgenden Text rein:
sc stop MicroSoft Media Tools
sc delete MicroSoft Media Tools
del delete.bat
|
Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
Backdoor.Win32.Rbot.aeu (virus)
* C:\WINDOWS\SYSTEM32\WINSYSTEMS.EXE (Renamed Submitted)
Rootkit.Win32.Agent.p (virus)
* C:\WINDOWS\SYSTEM32\RDRIV.SYS
* C:\WINDOWS\SYSTEM32\83GHH.INI (Submitted)
* C:\WINDOWS\SYSTEM32\QZ.DLL (Submitted)
* C:\WINDOWS\SYSTEM32\QZ.SYS (Submitted)
* C:\WINDOWS\SYSTEM32\SEPPGM.SYS
* C:\WINDOWS\SYSTEM32\SEPPGS.DLL
Stealth_process (hidden item)
* C:\WINDOWS\EXPLORER.EXE (Submitted)
* \??\C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Trojan-Downloader.BAT.Ftp.ab (virus)
* C:\WINDOWS\SYSTEM32\I (Renamed Submitted)
datfindbat
Verzeichnis von C:\
18.06.2006 16:05 1.080 nmgpdusc.bat
18.06.2006 16:05 126.976 zip.exe
17.06.2006 19:45 58.725 pis.exe
Verzeichnis von C:\WINDOWS\system32
17.06.2006 19:56 7.168 rdriv.sys
17.06.2006 19:45 100 ps.a3d
17.06.2006 19:45 70 i
Verzeichnis von C:\WINDOWS
17.06.2006 19:44 54.512 MSmedia.exe
17.06.2006 19:39 0 nsreg.dat
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MicroSoft Media Tools
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MicroSoft Media Tools
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SEPPGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SEPPGM\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seppgm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seppgs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SEPPGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SEPPGM\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\seppgm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\seppgm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEPPGM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEPPGM\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seppgm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seppgs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
|
|
|
|
|
|