Haxdoor

Haxdoor-Varianten

Haxfix Haxdoor Removal - Haxfix

Rootkits erkennen - Rootkithook

F-Secure BlackLight - F-Secure BlackLight

RootkitRevealer - RootkitRevealer

---

blacklight

03/26/06 22:30:35 [Info]: Hidden file: D:\WINDOWS\system32\avpe32.dll Link: avpe32_haxdoor 03/26/06 22:30:35 [Info]: Hidden file: D:\WINDOWS\system32\avpe64.sys 03/26/06 22:30:36 [Info]: Hidden file: D:\WINDOWS\system32\klgcptini.dat 03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\stt82.ini 03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\qz.dll 03/26/06 22:30:37 [Info]: Hidden file: D:\WINDOWS\system32\qz.sys Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen scan --> next none auf rename ändern Dann lass Blacklight den Rechner neu starten.

Bck/Haxdoor.HH -> C:\Dokumente und Einstellungen\Username\Eigene Dateien\aswclnr.exe O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll Link: avpx32.dll O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll C:\WINDOWS\system32\avpe32.dll C:\WINDOWS\system32\avpe64.sys C:\WINDOWS\system32\klgcptini.dat C:\WINDOWS\system32\qz.dll C:\WINDOWS\system32\qz.sys C:\WINDOWS\system32\stt82.ini O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll Link: Win32/Rootkit.Agent C:\WINDOWS\system32\dvd4free.dll C:\WINDOWS\system32\dvdkernl.sys Troj/Haxdoor-AN Link: trojhaxdooran C:\WINDOWS\system32\sksdll.dll C:\WINDOWS\system32\sks2drvr.sys in der Registry HKLM\SYSTEM\CurrentControlSet\Services\sks2drvr\ HijackTHis O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\avpx32.dll Link: avpx32_Haxdoor O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll Link: sndu_haxdoor O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll C:\DOKUME~1\User\LOKALE~1\Temp\fna10924.SYS C:\DOKUME~1\User\LOKALE~1\Temp\fna10924.ini C:\WINDOWS\system32\ps.a3d O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll O20 - Winlogon Notify: Hints - E:\WINDOWS\system32\dPdrm.dll O20 - Winlogon Notify: mmx4xt - E:\WINDOWS\SYSTEM32\mmx4xt.dll O20 - Winlogon Notify: nkunpack - E:\WINDOWS\SYSTEM32\nkunpack.dll O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll Link: xptptt_haxdoor fux87.ini klgcptini.dat sd.dll sd.sys xptpmm.sys xptptt.dll C:\WINDOWS\system32\drivers\sysbus32.sys

Hijackthis O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll datfindbat Verzeichnis von C:\WINDOWS\system32 03.03.2006 13:18 320 set87.ini 22.03.2006 14:56 897 ps.a3d 22.03.2006 13:08 88 error.a3d 22.03.2006 11:41 234.272 dPdrm.dll 22.03.2006 11:38 4.265 paytime.exe 18.02.2006 18:05 3.823.616 desk.exe 18.02.2006 17:24 964.096 sysdm.exe 16.02.2006 14:19 890.987 aurora_5xxx.scr 12.02.2006 20:43 5.642.680 aurora_4050.scr Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 03.03.2006 13:15 49.608 sysbus32.sys -> Link: sysbus32.sys

HijackTHis O20 - Winlogon Notify: pptp32 - C:\WINNT\SYSTEM32\pptp32.dll Zitat: Ich habe gestern versehentlich eine "postcard-email" kurz geöffnet (von post@postcard.com - betreff: You have received a postcard) Escan C:\WINNT\SYSTEM32\PPTP64.SYS infected by Backdoor.Win32.Haxdoor.gt C:\WINNT\ckilfxh.exe infected by Backdoor.Win32.Haxdoor.gh C:\WINNT\system32\qz.dll infected by "Backdoor.Win32.Haxdoor.gh" C:\WINNT\system32\rapilib.dx C:\WINNT\system32\tmpf00.exe infected by "Backdoor.Win32.Haxdoor.gt" C:\WINNT\system32\tmpf01.exe infected by "Backdoor.Win32.Haxdoor.gt" avpe32.dll im HijackThis zu sehen: O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll Link: avpe32_haxdoor

HijackTHis O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll C:\WINDOWS\SYSTEM32\fux87.ini C:\WINDOWS\system32\klgcptini.dat C:\WINDOWS\system32\qz.dll C:\WINDOWS\system32\qz.sys C:\WINDOWS\system32\xptp16.dll C:\WINDOWS\system32\xptp24.sys Weitere Dateien, die auch Teil dieser Infektion sind: C:\WINDOWS\SYSTEM32\klo5.sys C:\WINDOWS\system32\ps.a3d Folgende Dienste werden auf dem Computer installiert: XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart) XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)

HijackTHis O20 - Winlogon Notify: Hints - E:\WINDOWS\system32\dPdrm.dll O20 - Winlogon Notify: mmx4xt - E:\WINDOWS\SYSTEM32\mmx4xt.dll O20 - Winlogon Notify: nkunpack - E:\WINDOWS\SYSTEM32\nkunpack.dll datfindbat Verzeichnis von E:\WINDOWS\system32 22.03.2006 14:56 897 ps.a3d 22.03.2006 13:08 88 error.a3d 22.03.2006 13:01 3.064.459 kspydoc.log 22.03.2006 12:17 0 Sweeper.cfg 22.03.2006 11:41 234.272 dPdrm.dll 22.03.2006 11:38 4.265 paytime.exe Verzeichnis von E:\WINDOWS 22.03.2006 12:54 1.035.264 explorer.exe 22.03.2006 12:07 225 DHCPUPG.LOG 22.03.2006 12:05 472 WINNT32.LOG 22.03.2006 11:39 780 hosts 22.03.2006 11:39 1.024 tool5.exe 22.03.2006 11:39 1.024 tool1.exe 22.03.2006 11:39 28.032 toolbar.exe 22.03.2006 11:38 3.072 secure32.html 22.03.2006 11:38 43.092 country.exe 22.03.2006 11:38 32.768 tool2.exe Verzeichnis von E:\ 03.03.2006 03:32 13.044 zl_tmp 03.03.2006 03:32 19.408 bin0.bin 03.03.2006 03:32 13.076 subafsfile0.bin

HijackThis O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll datfindbat Verzeichnis von C:\WINDOWS\system32 22.03.2006 20:46 1.135 ps.a3d 21.03.2006 23:52 16.832 amcompat.tlb 21.03.2006 23:52 23.392 nscompat.tlb 19.03.2006 13:25 36 tickcnt.bin 17.03.2006 19:53 320 set87.ini 17.03.2006 14:39 0 klgcptini.dat

w32_ss.exe Trojan Haxdor.

Once launched, the program installs itself in the Windows system directory as w32_ss.exe

debugg.dll - main module
sdmapi.sys
boot32.sys
c3.dll
c3.sys
c4.sys

In systems running Windows NT/2000/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
DllName="debugg.dll"
Startup="MemManager"
Impersonate=1
Asynchronous=1
MaxWait=1

backdoor.haxdoor.d

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Secboot" = "w32tm.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW

# %System%\w32tm.exe
# %System%\drct16.dll
# %System%\cz.dll
# %System%\vdmt16.sys
# %System%\hz.dll
# %System%\winlow.sys
# %System%\wz.dll
# %System%\p2.ini

xptptt.dll

xptptt_haxdoor

HijackTHis

O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

C:\WINDOWS\system32\drivers\sysbus32.sys
C:\WINDOWS\system32\fux87.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\sd.dll
C:\WINDOWS\system32\sd.sys
C:\WINDOWS\system32\xptpmm.sys
C:\WINDOWS\system32\xptptt.dll

seppgs.dll

seppgs_dll

HijackTHis

O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

c:\WINDOWS\system32\qz.dll
c:\WINDOWS\system32\qz.sys
c:\WINDOWS\system32\seppgm.sys
c:\WINDOWS\system32\seppgs.dll
c:\WINDOWS\system32\rdriv.sys

f-secure/blacklight

06/18/06 16:10:33 [Info]: Hidden file: c:\WINDOWS\system32\83ghh.ini
06/18/06 16:10:29 [Info]: Hidden process: C:\WINDOWS\MSmedia.exe
06/18/06 16:10:33 [Info]: Hidden file: c:\WINDOWS\system32\aaaxcfdwq.dat
06/18/06 16:10:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\seppgm.sys
06/18/06 16:10:44 [Info]: Hidden file: c:\WINDOWS\system32\seppgs.dll

Backdoor.Win32.Agobot.afk

Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den Editor.... Dann kopiere folgenden Text rein:

Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken

sc stop MicroSoft Media Tools sc delete MicroSoft Media Tools del delete.bat

F-Secure Online Scanner

Backdoor.Win32.Rbot.aeu (virus)

* C:\WINDOWS\SYSTEM32\WINSYSTEMS.EXE (Renamed Submitted)

Rootkit.Win32.Agent.p (virus)

* C:\WINDOWS\SYSTEM32\RDRIV.SYS

* C:\WINDOWS\SYSTEM32\83GHH.INI (Submitted)
* C:\WINDOWS\SYSTEM32\QZ.DLL (Submitted)
* C:\WINDOWS\SYSTEM32\QZ.SYS (Submitted)
* C:\WINDOWS\SYSTEM32\SEPPGM.SYS
* C:\WINDOWS\SYSTEM32\SEPPGS.DLL

Stealth_process (hidden item)

* C:\WINDOWS\EXPLORER.EXE (Submitted)
* \??\C:\WINDOWS\SYSTEM32\WINLOGON.EXE

Trojan-Downloader.BAT.Ftp.ab (virus)
* C:\WINDOWS\SYSTEM32\I (Renamed Submitted)

datfindbat

Verzeichnis von C:\

18.06.2006 16:05 1.080 nmgpdusc.bat
18.06.2006 16:05 126.976 zip.exe
17.06.2006 19:45 58.725 pis.exe

Verzeichnis von C:\WINDOWS\system32

17.06.2006 19:56 7.168 rdriv.sys
17.06.2006 19:45 100 ps.a3d
17.06.2006 19:45 70 i

Verzeichnis von C:\WINDOWS

17.06.2006 19:44 54.512 MSmedia.exe
17.06.2006 19:39 0 nsreg.dat

Avenger (Beispiel)

registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MicroSoft Media Tools HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MicroSoft Media Tools HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SEPPGM HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SEPPGM\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seppgm HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seppgs HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SEPPGM HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SEPPGM\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\seppgm HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\seppgm.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEPPGM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEPPGM\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seppgm HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seppgs HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rdriv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv

---

Counter-Box.de