Wie kann man den Trojaner Backdoor.HackDefender entfernen?

#1 Ich hab mir den Trojaner Backdoor.HackDefender eingefangen. Ich kann Norton Internet Security 2004 nur im Abgesicherten Modus hochfahren und mit "regedit" keine Einträge ander Regitry verändern (Fenster schließt nach 1-2 Sekunden). Ad-Aware und Spy Bot finden nix und Antivir XP dursucht angeblich in 5 Sekunden meine gesamte Festplatte (bei 120 gb doch bisschen wenig). In der Suchfunktion hier im Forum wie auch bei google hab ich nix brauchbares gefunden. Mein Wissen bezüglich Trojaner, Viren, etc... ist jetzt leider erschöpft und weis leider nicht mehr was ich machen soll.

Ich nehme jeden noch so kleinen Ratschlag dankend an!

Angenommen ich finde keine Lösung, könnte ich dann einige Daten von meiner Festplatte (die von Norton Internet Security als unschädlich erkannt wurden) ohne Bedenken sichern und nach dem Formatieren wieder kopieren? Könnten da noch Rückstände vorhanden sein, die ein Virenscanner nicht erkennt?

Logfile of HijackThis v1.97.7
Scan saved at 18:15:44, on 19.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\spoolsv.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\SBAudigy2\Surround Mixer\CTSysVol.exe
D:\WINNT\System32\CTHELPER.EXE
C:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\WINNT\System32\CTsvcCDA.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINNT\System32\nvsvc32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\spiele\steam\Steam.exe
C:\Programme\Cheating-Death\cdeath.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\DOKUME~1\a\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ssgrate.exe] D:\WINNT\system32\sm.exe
O4 - HKCU\..\Run: [Steam] C:\spiele\Steam\Steam.exe -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#2 Das ist wohl was fuer forge77 oder Nautilus!
Welche Datei wird denn genau als Backdoor genannt? In welchem Ordner ist sie und wie genau ist der Dateiname?
Teste diese Datei sm.exe mal hier: http://www.kaspersky.com/remoteviruschk.html

und schicke sie bitte an virus@protecus.de

Zum entfernen wirst du wohl eine BootCD/disk brauchen, im zusammenspiel mit Mcafee oder Fprot. AFAIk am schnellsten und effektivsten.
__________
MfG Ralf
SEO-Spam Hunter

#3 Thx für die Antwort!

Mein NIS 2004 hat ne Datei in Quarantine in gesicherte Elemente aufgeführt:

hxdefdrv.sys Original Ablgeort: D:\Winnt\

Die Datei is also nich mehr.

Die Datei sm.exe ist auf meiner Festplatte nicht zu finden, dafür eine rsm.exe. Wenn ich einen rechtsklick auf diese Datei tätige schließen sich allerdings alle Fenster. Bei Kasperky wird nix angezeigt. Ich schick die Datei ma an die Adresse.

Hab ma im Abgesicherten Modus NIS 2004 laufen lassen, doch nix gefunden.

Hab gelesen der Virus versteckt Dateien und Registry Einträge. Stimmt das?
Wenn ja, kann ich die irgendwie wieder finden?

Mit fprot wird leider nix, is ntfs (Win XP). Mit McAfee hätte ich doch schon vor dem Befall eine Bootdisk erstellen müssen, oder kann man die sich auch irgendwo downloaden? Ansonsten fällt des schon mal weg.
Da bin ich mit meinem Latein am ende.

Falls ich meine Festplatte formatiere, könnte ich dann Daten (die befallen sein könnten) sichern, und dann auf Viren, etc... überprüfen, sodass ein Befall des sauberen Systems durch diese Daten ausgeschlossen ist?

Schon mal Danke im Vorraus für weitere Vor- und Ratschläge

#4 Bis Nautilus oder forge77 sich zu Worte melden,
versuch es mal mit Rootkit Detector => http://www.3wdesign.es/security/descarga.php?u=82pxv20n

Keine Ahnung ob es mit der neuesten Version von HD funzt.(würde mich auch interessieren )
Weitere Hinweise auf ein mögliches Tool könnten leider dem Forum u.U. mehr schaden als helfen da ich einen "sauberen" downloadlink nicht finden konnte.

Zitat

Hab gelesen der Virus versteckt Dateien und Registry Einträge. Stimmt das?
Wenn ja, kann ich die irgendwie wieder finden?

Ja.(Rootkit,öffnet auch Ports/an der FW vorbei )
Mit RegdatXP /HKLM\System/ sichern und unter Services findest dann den HD Eintrag.
Task Info wird dir wahrscheinlich den Prozess auch anzeigen können.

In letzter Instanz wichtige Daten retten/brennen und format:c

Gruß
Ajax

#5 Danke für eure Antworten!

Werden CD-Images eigentlich auch befallen? Bis jetzt kenn ich das nur von direkt ausführbaren Dateien und Archiven, in denen solche enthalten sind. Muss schon auf ne Menge Archive verzichten, bitte nicht auch noch CD-Images!
Könnte man den Befall irgendwie erkennen? Will nicht den PC neu aufsetzen um dann zu merken, das der Trojaner wieder drauf is und ich auf meine Daten verzichten muss.

#6 Versuch mal ein Onlinescan bei http://www3.ca.com/virusinfo/virusscan.aspx
__________
MfG Argus

#7 hi,

über die Datei "sm.exe" habe ich was gefunden. Ambesten mal prüfen ob die Merkmale auf dein System zutreffen.

http://www.bsi.de/av/vb/hybris.htm

mfG BG
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de

#8 Da inzwischen immer mehr Möchtegernhacker Hacker Defender zum Tarnen ihrer Malware verwenden, hab ich nun doch mal ein Mini-Tutorial (leider englischsprachig) auf unsere Page hochgeladen, welches erklärt, wie man so ein Rootkit auch nach dessen Aktivierung erkennen und entfernen kann.


http://home.arcor.de/scheinsicherheit/rootkits.htm



Gruss, ntl