Backdoor.Win32.HacDef

Backdoor.Win32.HacDef.bj, f3490d74d7cdrv.sys, f3490d74d7c.ini

HijackThis

O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe

(lösche alle temp-Dateien) - Ccleaner

datfindbat

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

Active Desktop web content:
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
Verzeichnis von C:\WINDOWS


C:\WINDOWS\f3490d74d7cdrv.sys
C:\WINDOWS\f3490d74d7c.ini
C:\WINDOWS\f3490d74d7c.exe
C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html
C:\WINDOWS\System32\43bh2ml.dll

Download Registry Search Tool :RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann
"regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring

f3490d74d7c.exe

hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das
Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.

HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\ CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E} "UninstallString"="\"C:\\WINDOWS\\System32\\f3490d74d7c.exe\" -un" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7csvr HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7csvr HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7csvr

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit Speichern unter auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

REGEDIT4 [-HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\ CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CDRV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7cdrv] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CDRV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7cdrv] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\f3490d74d7csvr] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CDRV] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7cdrv]

Gehe in die Registry
Start --> Ausführen --> regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 --- auf 0 stellen

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D} -- löschen

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

löschen:

"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"


C:\WINDOWS\f3490d74d7c.ini
C:\WINDOWS\f3490d74d7cdrv.sys
C:\WINDOWS\System32\43bh2ml.dll
C:\WINDOWS\43bh2ml.dll
C:\DOKUME~1\Username\LOKALE~1\Temp\bd85153da.html
C:\Recycler\Q678341.exe
C:\WINDOWS\System32\f3490d74d7c.exe

anderer PC

HijackThis

O23 - Service: WindowInstallSystem (9caf7d75497svr) - Unknown owner - C:\WINDOWS\9caf7d75497.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O4 - HKLM\..\Run: [9caf7d75497] C:\WINDOWS\System32\9caf7d75497.exe
O4 - HKCU\..\Run: [9caf7d75497] C:\WINDOWS\System32\9caf7d75497.exe
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O23 - Service: WindowInstallSystem (9caf7d75497svr) - Unknown owner - C:\WINDOWS\9caf7d75497.exe

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

25.10.2005 12:48 4 PMShared
25.10.2005 11:28 1.454 9ff64641d.html
20.10.2005 13:55 0 38487ed1c46.71d

C:\System Volume Information\_restore{07F882C9-6FC8-4AB6-92CD-DA51E9DD72BB}\RP77\A0034202.sys
Infected: Backdoor.Win32.HacDef.bj

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"9caf7d75497" = "C:\WINDOWS\System32\9caf7d75497.exe" [** WMI GetObject error **]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"9caf7d75497" = "C:\WINDOWS\System32\9caf7d75497.exe" [** WMI GetObject error **]

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Marc\LOKALE~1\Temp\9ff64641d.html"
"SubscribedURL" = "C:\DOKUME~1\Marc\LOKALE~1\Temp\9ff64641d.html"

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
{CLSID}\InProcServer32\(Default) = "n9cpw.dll"

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"load" = (value not set)
"run" = (value not set)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_9CAF7D75497SVR] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_9CAF7D75497SVR] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\9caf7d75497svr] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_9CAF7D75497SVR] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\9caf7d75497svr] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "9caf7d75497"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "9caf7d75497"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- "System"="" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"=- "NoActiveDesktop"=- "ForceActiveDesktopOn"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken.

?????????????????????????????
C:\WINDOWS\9caf7d75497svr.sys
C:\WINDOWS\9caf7d75497.ini
C:\WINDOWS\9caf7d75497.exe
C:\DOKUME~1\Username\LOKALE~1\Temp\9ff64641d.html
C:\WINDOWS\System32\n9cpw.dll