Wie kann man den Trojaner Backdoor.HackDefender entfernen? |
||
---|---|---|
#0
| ||
19.02.2004, 21:40
...neu hier
Beiträge: 3 |
||
|
||
19.02.2004, 21:56
Moderator
Beiträge: 7805 |
#2
Das ist wohl was fuer forge77 oder Nautilus!
Welche Datei wird denn genau als Backdoor genannt? In welchem Ordner ist sie und wie genau ist der Dateiname? Teste diese Datei sm.exe mal hier: http://www.kaspersky.com/remoteviruschk.html und schicke sie bitte an virus@protecus.de Zum entfernen wirst du wohl eine BootCD/disk brauchen, im zusammenspiel mit Mcafee oder Fprot. AFAIk am schnellsten und effektivsten. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 19.02.2004 um 22:16 Uhr von raman editiert.
|
|
|
||
19.02.2004, 22:52
...neu hier
Themenstarter Beiträge: 3 |
#3
Thx für die Antwort!
Mein NIS 2004 hat ne Datei in Quarantine in gesicherte Elemente aufgeführt: hxdefdrv.sys Original Ablgeort: D:\Winnt\ Die Datei is also nich mehr. Die Datei sm.exe ist auf meiner Festplatte nicht zu finden, dafür eine rsm.exe. Wenn ich einen rechtsklick auf diese Datei tätige schließen sich allerdings alle Fenster. Bei Kasperky wird nix angezeigt. Ich schick die Datei ma an die Adresse. Hab ma im Abgesicherten Modus NIS 2004 laufen lassen, doch nix gefunden. Hab gelesen der Virus versteckt Dateien und Registry Einträge. Stimmt das? Wenn ja, kann ich die irgendwie wieder finden? Mit fprot wird leider nix, is ntfs (Win XP). Mit McAfee hätte ich doch schon vor dem Befall eine Bootdisk erstellen müssen, oder kann man die sich auch irgendwo downloaden? Ansonsten fällt des schon mal weg. Da bin ich mit meinem Latein am ende. Falls ich meine Festplatte formatiere, könnte ich dann Daten (die befallen sein könnten) sichern, und dann auf Viren, etc... überprüfen, sodass ein Befall des sauberen Systems durch diese Daten ausgeschlossen ist? Schon mal Danke im Vorraus für weitere Vor- und Ratschläge Dieser Beitrag wurde am 19.02.2004 um 23:54 Uhr von Chris_86 editiert.
|
|
|
||
20.02.2004, 02:18
Member
Beiträge: 890 |
#4
Bis Nautilus oder forge77 sich zu Worte melden,
versuch es mal mit Rootkit Detector => http://www.3wdesign.es/security/descarga.php?u=82pxv20n Keine Ahnung ob es mit der neuesten Version von HD funzt.(würde mich auch interessieren ) Weitere Hinweise auf ein mögliches Tool könnten leider dem Forum u.U. mehr schaden als helfen da ich einen "sauberen" downloadlink nicht finden konnte. Zitat Hab gelesen der Virus versteckt Dateien und Registry Einträge. Stimmt das?Ja.(Rootkit,öffnet auch Ports/an der FW vorbei ) Mit RegdatXP /HKLM\System/ sichern und unter Services findest dann den HD Eintrag. Task Info wird dir wahrscheinlich den Prozess auch anzeigen können. In letzter Instanz wichtige Daten retten/brennen und format:c Gruß Ajax |
|
|
||
20.02.2004, 08:13
...neu hier
Themenstarter Beiträge: 3 |
#5
Danke für eure Antworten!
Werden CD-Images eigentlich auch befallen? Bis jetzt kenn ich das nur von direkt ausführbaren Dateien und Archiven, in denen solche enthalten sind. Muss schon auf ne Menge Archive verzichten, bitte nicht auch noch CD-Images! Könnte man den Befall irgendwie erkennen? Will nicht den PC neu aufsetzen um dann zu merken, das der Trojaner wieder drauf is und ich auf meine Daten verzichten muss. |
|
|
||
20.02.2004, 11:17
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.02.2004, 18:25
Member
Beiträge: 15 |
#7
hi,
über die Datei "sm.exe" habe ich was gefunden. Ambesten mal prüfen ob die Merkmale auf dein System zutreffen. http://www.bsi.de/av/vb/hybris.htm mfG BG __________ - Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de |
|
|
||
25.02.2004, 21:35
Member
Beiträge: 23 |
#8
Da inzwischen immer mehr Möchtegernhacker Hacker Defender zum Tarnen ihrer Malware verwenden, hab ich nun doch mal ein Mini-Tutorial (leider englischsprachig) auf unsere Page hochgeladen, welches erklärt, wie man so ein Rootkit auch nach dessen Aktivierung erkennen und entfernen kann.
http://home.arcor.de/scheinsicherheit/rootkits.htm Gruss, ntl Dieser Beitrag wurde am 25.02.2004 um 21:36 Uhr von Nautilus editiert.
|
|
|
||
Ich nehme jeden noch so kleinen Ratschlag dankend an!
Angenommen ich finde keine Lösung, könnte ich dann einige Daten von meiner Festplatte (die von Norton Internet Security als unschädlich erkannt wurden) ohne Bedenken sichern und nach dem Formatieren wieder kopieren? Könnten da noch Rückstände vorhanden sein, die ein Virenscanner nicht erkennt?
Logfile of HijackThis v1.97.7
Scan saved at 18:15:44, on 19.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\spoolsv.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\SBAudigy2\Surround Mixer\CTSysVol.exe
D:\WINNT\System32\CTHELPER.EXE
C:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\WINNT\System32\CTsvcCDA.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINNT\System32\nvsvc32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\spiele\steam\Steam.exe
C:\Programme\Cheating-Death\cdeath.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\DOKUME~1\a\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ssgrate.exe] D:\WINNT\system32\sm.exe
O4 - HKCU\..\Run: [Steam] C:\spiele\Steam\Steam.exe -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab