Backdoor.HackDefender und XMLid.Exploit

#0
21.07.2004, 14:49
...neu hier

Beiträge: 3
#1 Hallo Zusammen.

Ich hatte vor einigen Tagen plötzlich dass Problem, dass sich meine Notepad.exe nicht mehr ausführen lies. Als ich mir dann Informationen und AV-Programme aus dem Internet holen wollte, verabschiedete sich der IE immer, wenn ich z.B. HijackThis runterladen wollte.
Ich habe mir dann alle in den anderen Beiträgen genannten AV-Progs über einen anderen PC geholt und auf mein Notebook gespielt.
Doch ich konnte z.B. HijackThis.exe erst finden, als ich sie unter einem anderen Namen abgespeichert hatte. Es lies sich aber trotzdem noch nicht ausführen. Das gleiche Problem hatte ich auch mit Spybot Search & Destroy auch hier konnte ich den Installationsordner erst finden, nachdem ich den Namen geändert hatte.

Über den Abgesicherten Modus habe ich es dann irgendwie (habe alle möglichen Virenscanner, Spywareprogs und soweiter drüberlaufen lassen) geschafft, das alles soweit wieder normal funktioniert.

ABER:
Norton AV findet immer noch die Datei C:\Windows\hxdefdrv.sys und entfernt sie jedesmal.
Wenn ich auf den Link http://www.greymagic.com/security/advisories/gm001-ie/simplebind.html gehe, dann meldet NAV :
"Norton AntiVirus hat einen Virus auf ihrem Computer gefunden und ihn entfernt."
Objektname: C:\Dokumente und Einstellungen\ ... \simplebind[1].htm
Virenname: XMLid.Exploit

Wie entferne ich diese beiden Viren dauerhaft???
Vielen Dank für eure Hilfe!!!

Mein System:
Win XP
IE 6

Hijackthis Log:

Logfile of HijackThis v1.98.0
Scan saved at 14:26:24, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Messenger\msmsgs.exe
C:\Download\Programme\Kopie von ht.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-mannheim.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-mannheim.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\SBSD\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
Seitenanfang Seitenende
21.07.2004, 15:06
Moderator

Beiträge: 7805
#2 Wenn du hackerdefender auf den Rechner hast, mach ihn Platt! Den Rechner neu aufsetzen meine ich.
Der wuselt einem viel zu viel im System rum und wer weiss, was der noch alles eingeschleppt hat.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.07.2004, 15:12
...neu hier

Themenstarter

Beiträge: 3
#3 Das sind ja Aussichten...
Hab sonst auch schon fast alles versucht und hab ihn nicht wegbekommen.
Kann mir jemand sagen, ob z.B. Access oder Excel-Dateien befallen werden, oder kann ich die Nachdem ich sie mit einem Virenscanner untersucht habe wieder auf meinen Rechner aufspielen.
Danke für dei Hilfe!!!
Seitenanfang Seitenende
21.07.2004, 15:19
Moderator

Beiträge: 7805
#4 Diese Daten werden meistens nicht (von diesem) Backdoor befallen. Ob sich Macroviren eingeschliechen haben und irgendeine Malware Daten innerhalb der Dokumente veraendert hat, kann ich so natuerlich nicht beantworten. Ich denke ja Positiv und gehe nicht davon aus.

Mach halt ein Backup von den Daten oder der Partitionen. An neu aufsetzen kommst du nicht vorbei. Auf dem neuen System kannst du deine Daten zurueckspielen. Man sollte nur besonders darauf achten, das bei den Officeprodukten das Ausfuehren von Macros unterbunden wird, bzw sie erst ueber ein Mitbewerberprodukt(open office) oder einen externen Viewer ohne Macrounterstuezung gelesen und neu gespeichert werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.07.2004, 15:29
...neu hier

Themenstarter

Beiträge: 3
#5 OK, Danke!
Letzte Frage bevor ich mich dann ans formatieren mache:

Wie mache ich den am besten ein Backup von der Partition, bzw. von den DAten?
Ich hätte jetzt einfach alle Dateien, die ich behalten will auf ne DVD gebrannt, oder auf einen anderen Rechner gespielt.
Seitenanfang Seitenende
21.07.2004, 15:35
Moderator

Beiträge: 7805
#6 Ja, du brauchst im Endeffekt ja nur die Daten. Nur, ein infiziertes Backup ist besser als gar keines!
Fuer das Backup kann man Software wie True Image von Acronis oder Drive Image/Ghost von Symantec nutzen. Nur sollte man das vor dem Notfall schon besitzen. Aeltere Versionen von Driveimage und Trueimage wurden oefter schon als Zugabe zu difersen PC-Zeitschriften gegeben. Welche das genau waren, weiss ich so aus dem Kopf nicht mehr.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: