Probleme: Backdoor.Hackdefender + DSO Exploit

#16

Zitat

Nachtmar postete
Den eintrag in der Registry hab ich gefunden (allerdings unter nem anderne Pfad)...
Auch noch paar andere Registrys auf der suchseite nun probier ich des mal mit der Console was da steht und versuch des zu deaktivieren - immer wieder erwisch ein Stück mehr von dem Virus^^

Allerdings sollt ich wohl Norton neu Installieren....

Loesche diese Eintraege , die zum Hackdefender gehoeren (rechts in der Registry) und natuerlich Norton neu installieren, klar....

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17

Zitat

asdrubael postete
Hat die Anti-PF Fraktion nicht mal ein paar neue Links auf Lager? Irgendwann werden Sachen die 2001 aktuell waren doch auch mal unglaubwürdig

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Besser?

Die meisten Probleme sind nun mal auch einfach grundsätzlicher Natur. Und u.a. angesichts dieses Threads wüsste ich nicht wirklich, was an der Kritik an falschen Erwartungshaltungen gegenüber PFW falsch wäre. Die klassische "Ich habe eine Firewall, die mich doch vor Trojanern schützen sollte"-Sicht kann man ja kaum besser dokumentieren.
Ich habe auch nichts prinzipiell gegen PFW, wenn man weiss, was sie tatsächlich leisten und ihre Grenzen kennt und sie richtig konfiguriert. Sicherheitstechnisch bleiben sie IMO aber weitgehend überflüssig, wenn man andere, grundlegende Dinge beachtet.

#18 so habe den Hackdefender Deaktiviert (windows recovery console => listsvc => den genauen namen raussuchen => disable <name> || dummerweise erkannte der bei mir die windwosfestplatte net weil die auf nem raid läuft => windows raid installiert (via windows cd) und es ging perfekt)
Nun tauchen urplötzlich allerhand verseute dateien auf unter anderem die .INI von dem Hacker Defender.

Zitat

[Hidden Table]
inatjoy.dll
motkrtin.dll
witadr.dll
winunins.exe
winunins.ini
svhost.exe
CWShredder*
HijackThis*
ProceXP*
Spybot*
msconfig*

[Root Processes]
svhost.exe
trj4j6js.exe
winunins.exe

[Hidden Services]
HackerDefender*

[Hidden RegKeys]
HackerDefender100
LEGACY_HACKERDEFENDER100
HackerDefenderDrv100
LEGACY_HACKERDEFENDERDRV100

[Hidden RegValues]

[Startup Run]
C:\WINDOWS\svhost.exe -sr -0

[Free Space]

[Hidden Ports]

[Settings]
Password=qweqwe
BackdoorShell=ddd.exe
FileMappingName=_.-=[PokuS]=-._
ServiceName=HackerDefender100
ServiceDisplayName=Windows System Uninstaller
ServiceDescription=Microsoft System Service
DriverName=HackerDefenderDrv100
DriverFileName=hxdefdrv.sys

[Comments]

is denk ich einigermaßen Intressant.
außerdem hab ich die Registry noch mal gründlich mit Suchfunktion durchsucht auf alle möglichen keywords und so allerhand gelöscht.
Dummerweise auch nen Eintrag eines meiner Sounddriver den ich einfach RE-Installierte.

Allerdings steh ich noch vor dem Problem, da sich 2 Registry einträge definitv nicht löschen lassen und die DSO.Exploit (im nun funkionierenden spybot) auch nicht verschwindet.

Die Datei nbtlog.txt (die denk ich sehr intressant für solche Probleme ist) sagt nun außerdem

Zitat

Der Treiber wurde nicht geladen HackerDefenderDrv100.SYS
Der Treiber wurde nicht geladen HackerDefenderDrv100.SYS

Was ich daraus schließe, dass der Trojaner zwar deaktiviert ist, jedoch noch nicht komplett gelöscht ist....

Wisst ihr da wies zufällig noch weiter geht und ich des rausbring ?

aja und Highjack ergibt nun folgendes:

Zitat

Logfile of HijackThis v1.98.2
Scan saved at 6:41:14 PM, on 9/21/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
D:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Symantec\LiveUpdate\LUALL.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\temp\AntiVir\Hiac.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095784264000
O17 - HKLM\System\CCS\Services\Tcpip\..\{49C2B52A-DEB9-4FA0-9847-9F06D2213804}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{49C2B52A-DEB9-4FA0-9847-9F06D2213804}: NameServer = 62.104.191.241 62.104.196.134

Die woher die neuen einträge genau kommen weiß ich nicht - einer kommt logischerweise vom Windowsupdate, eingige sicherlich vom neuinstallierten norton...

#19 Hallo @Nachtmar

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\HackerDefender100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\HackerDefender100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDER100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDERDRV100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HackerDefender100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HackerDefenderDrv100
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HACKERDEFENDERDRV100
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HackerDefenderDrv100

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#suche und loesche:
<ddd.exe (BackdoorShell)
<inatjoy.dll
<motkrtin.dll
<witadr.dll
<%Windows%\svhost.exe (nicht verwechseln mit:svchost.exe Windows)
<%Windows%\WINUNINS.EXE

#Start<Ausfuehren<cmd/NET STOP HACKERDEFENDER100
den Driver hast du ja schon deaktiviertriverFileName=hxdefdrv.sys(deshalb ist es vielleicht schon nicht mehr notwendig...das Komando unter "Ausfuehren" einzugeben.....)

#deaktiviere den Symantec und lade "Avast" (nach dem Laden, boote, dann fuehrt der Scanner eine automatische Saeuberung auch des Arbeitsspeichers durch) Danach deinstallirst du das Tool wieder und aktivierst den Symantec.
http://www.best-downloads.de/index.php?id=8548
___________________________________________________________________

Das waere zum Exploit zu sagen:
Spybot Search & Destroy\ DSO Exploit
http://www.trojaner-board.de/showpost.php?p=70985&postcount=6
Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.

Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20

Zitat

aelfric2 postete

Zitat

asdrubael postete
Hat die Anti-PF Fraktion nicht mal ein paar neue Links auf Lager? Irgendwann werden Sachen die 2001 aktuell waren doch auch mal unglaubwürdig

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Besser?

Nö das ist ja noch älter ^^
Ich hätte einfach mal gern eine aktuelle Seite nicht immer und immer wieder die uralten gleichen Links. Die Entwicklung bleibt ja nicht stehen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#21 mit dem DSO Exploit bin ich auch fertig geworden.
Die dateien hab ich schon gelöscht - Registry soweit möglich auch.

Allerdings bleiben noch die beiden Einträge:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDER100
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HACKERDEFENDERDRV100

Beim Versuch zu löschen kommt Fehlermeldung... ka wie ich des machen soll

/EDIT:
So nun hab ichs doch geschafft
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen
thx Sabina für die geniale Hilfe sonst wär ich wohl nicht an nem Format C: vorbei gekommen

#22 @ asdrubabel

Solange sich an den Kritikpunkten nichts ändert und diese nach wie vor korrekt sind, was soll eine "neue" Seite bringen? Sind dieselben Argumente mit neuer Hintergrundfarbe überzeugender? Zumindest die letzte dürfte aktualisiert werden.

Du hast natürlich Recht mit der Entwicklung, seit dem SP2 ist eine weitere PFW eigentlich noch unnötiger geworden.

@ Nachtmar

Wieso wäre denn ein format c: so furchtbar gewesen? Du hast jetzt ca. 5 Tage an der Sache herumgebastelt, dein Rechner KANN jetzt sauber sein, muss es aber nicht. Bei einer Neuinstallation könnte man diese Garantie geben und sie hätte dich wohl auch nur einen Bruchteil der Zeit gekostet. Da es sich hier nicht "nur" um einen Trojaner, sondern sogar um ein Rootkit handelt, dessen Entfernung noch mal komplizierter ist, wenn man nicht genau weiss, was man macht, würde ich das noch nachdrücklicher als so schon empfehlen.
Aber ich hör´ja schon auf...und hoffe, du hast es wirklich beseitigt.

#23 Formatieren hätte zweifelsohne länger gedauert... ich war ja keineswegs Pausenlos 5 Tage vorm PC gesesessn...
Die Scans habe ich im Normalfall während meiner Abwesenheit durchgeführt und ich denke der Aufwand beim Formatieren wäre noch größer, da ich erst noch Daten sicher hätte müssen (ca. 100 GB.) - zumindest bei vollständigem Formatieren von allen Festplatten.
aber egal jetzt schauts denk ich so ganz gut aus.