Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Nochmals Haxdoor!!!

Hei Leute,

ich krieg den HAXDOOR Eintrag aus der Registry nicht raus. Zur Erinnerung: Spybot hat mir gemeldet, dass 2 Einträge drin sind, die nach Entfernung sofort wieder reingeschrieben sind.

Hat jemand vielleicht nochmals ne Idee?

Win2000, SP4, Kaspersky, Hardwarefirewall, Spybot, RegClean....

Danke im Vorraus



Antworten zu Nochmals Haxdoor!!!:

am besten noch ad-aware 6 und a² free drüberlaufen lassen.
http://www.emsisoft.de/de/software/free/
http://www.lavasoftusa.com/support/download/
ansonsten mal im abgesicherten modus scannen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, sonst versuche zu lokalisieren, wo sich die Datei befindet, welche diesen Reg-Eintrag verursacht.
Dabei könnte dir HijackThis helfen.

HijackThis: http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

Hab alles probiert, ad-aware, kaspersky, spybot... .... nix konnte den HaxDoor - H entfernen. Langsam weiss ich nicht mehr weiter...:-(

ARGHHH

HAt denn keiner einen Tipp für mich?

Gruss Jochen


Hier
kannst du einen DOS-Scanner runterladen und ihn auf Diskette speichern oder CD brennen und bevor Windows läd über DOS deine Festplatte scannen.
(Ich glaub in DOS kommt man wenn man beim booten F8 drückt)
Dazu muss natürlich im BIOS eingestellt sein, dass das Disketten bzw. CD-Rom-Laufwerk vor der Festplatte bootet.
« Letzte Änderung: 22.12.04, 02:36:59 von Hobbit- »

danke für den tipp. das f-prot hab ich runtergeladen. aber wie krieg ich den rechner in einen "richtigen" dos modus? startdiskette von win98se funztz natürlich ned, gibts ne möglichkeit ne startdiskette  von 2000 zu erstellen?
hab auch schon von der win2000 cd gebootet, aus der reparaturkonsole...hilft aber nix, der trojaner ist immer noch drauf. bräuchte ein nacktes dos wo ich dann auf die lw zugreifen kann.
habs auch schon auf die cd kopiert, aber irgendwie zickt f-prot dann rum, findet natürlich wegen ntfs keine partitionen.... es ist zum verrückt werden...

hilfe.

http://www.computerhilfen.de/hilfen-5-51065-0.html

Manchmal hilft es wenn man hier ein bischen rumsucht ;-)

Greetz Titan

Oke, dann find ich mich wohl damit ab, dass ich den haxdoor drauf lass.... :(
Andere Möglichkeiten seh ich jetzt dann nicht mehr.

Danke trotzdem für eure Bemühungen.

Du kannst auch die Wiederherstellungskonsole(WHK) nehmen.
Da musste dann vorher die Rechte ausweiten das du auf jeden Ordner zugreifen kannst.

Erweiterte Funktionen der Wiederherstellungskonsole freischalten

Danach bootest in die WHK->anmelden und gibst am prompt ein:
Set AllowAllPaths = True

Dann haste Zugriff auf alle Ordner und kannst per hand die datein löschen die dir der Virenscanner als infiziert gemeldet hat.

Gruß

« Letzte Änderung: 28.12.04, 00:39:19 von Nighty »

dieser link hier:

Automatische Auswertung: http://www.hijackthis.de/

is für die katz!

NAV wird als BÖSE eingestuft, und zum >Haxdoor NULL info!

Von Haxdoor gibt es massig neue Varianten. Wenn sich der Haxdoor dann erst mal breitgemacht hat, kannst Du die Scanner und Hijackthis vegessen. Die Scanner finden Haxdoor nur zu dem Zeitpunkt, wenn er von der Webseite in das Temp-Verzeichnis im User-Profil geladen wird. Danach setzt er sich fest und wird aktiv.
Dann hilft nur noch die manuelle Methode.
Während die Kiste läuft, hast Du aber kaum eine Chance. Haxdoor installiert sich als Dienst und zusätzlich als Treiber. Diese lassen sich während der Laufzeit nicht beenden. Hijackthis zeigt diese Dienste nicht als Malware an.
Falls Du es doch schaffst, einen Prozess zu beenden setzt der andere wieder einen neuen Prozess inclusive Registry-Eintrag auf.
Am besten, Du baust die Platte in einen sauberen Rechner ein und suchst dann in Ruhe nach den Dateien und den Reg-Einträgen. Die Dateien und Dienste heißen in jeder Haxdoor-Variante anders.
Mit ein bischen Sucherei im system32 Pfad nach den aktuellsten Dateien kommst Du schnell dahinter, welche das sind. Wenn Du erstmal eine gefunden hast, kannst Du anhand der Größe die anderen herausfinden.
Es sind meistens vier verschiedene Dateigrößen mit unterschiedlichen Dateinamen vorhanden z.B. hz.dll, vdmt16.sys,WaiZ mit 20,9 kb oder winlow.sys, wz.dll, es mit 4 kb. Wenn Du mit Filealyzer in so eine Datei hineinschaust, kannst Du sehen wie die anderen Dateivarianten heißen. Diese stehen als Klartext im Hexcode.
Die entprechenden Dienste heißen dann z.B winlow oder vdmt16. Diese in der Registry zu finden ist relativ schwer, weil man darauf achten muß, daß man keinen Systemdienst löscht.
Falls das Problem noch bestehen sollte, kannst Du die gefundenen Dateien posten. Ich helfe Dir dann ein Stück weiter.

SOPHOS findet und löscht das Teil !

Am 25.01. konnten weder Sophos, Norton, AntiVir und eTrust mit heuristischer Suche die Haxdoor-Variante mit der mszx23.exe finden und entfernen.
Alles probiert und ich mach das nicht zum ersten Mal...
Verlaßt Euch bloß nicht blind auf Eure AV-Programme.


« Java-Scriptvirusvirus Worm/Netsky.D.Dam »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Registry
Die Windows Registry, auch Registrierdatenbank genannt, ist ein wichtiger Bestandteil von Windows. Hier werden die aktuellen Systemeinstellungen, aber auch alle installie...

Auslagerungsdatei
Die Auslagerungsdatei ist der virtuelle Speicher von Windows. Wenn der RAM-Speicher nicht ausreicht um mit den geöffneten Programmen weiter zu arbeiten, werden Daten...

Dateiendungen
Die Dateiendung, auch Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an den Dateinamen angehä...