Nochmals Haxdoor!!!

am besten noch ad-aware 6 und a² free drüberlaufen lassen.
http://www.emsisoft.de/de/software/free/
http://www.lavasoftusa.com/support/download/
ansonsten mal im abgesicherten modus scannen.

Hallo, sonst versuche zu lokalisieren, wo sich die Datei befindet, welche diesen Reg-Eintrag verursacht.
Dabei könnte dir HijackThis helfen.

HijackThis: http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

Hab alles probiert, ad-aware, kaspersky, spybot... .... nix konnte den HaxDoor - H entfernen. Langsam weiss ich nicht mehr weiter...:-(

ARGHHH

HAt denn keiner einen Tipp für mich?

Gruss Jochen

danke für den tipp. das f-prot hab ich runtergeladen. aber wie krieg ich den rechner in einen "richtigen" dos modus? startdiskette von win98se funztz natürlich ned, gibts ne möglichkeit ne startdiskette  von 2000 zu erstellen?
hab auch schon von der win2000 cd gebootet, aus der reparaturkonsole...hilft aber nix, der trojaner ist immer noch drauf. bräuchte ein nacktes dos wo ich dann auf die lw zugreifen kann.
habs auch schon auf die cd kopiert, aber irgendwie zickt f-prot dann rum, findet natürlich wegen ntfs keine partitionen.... es ist zum verrückt werden...

hilfe.

Oke, dann find ich mich wohl damit ab, dass ich den haxdoor drauf lass....
Andere Möglichkeiten seh ich jetzt dann nicht mehr.

Danke trotzdem für eure Bemühungen.

Du kannst auch die Wiederherstellungskonsole(WHK) nehmen.
Da musste dann vorher die Rechte ausweiten das du auf jeden Ordner zugreifen kannst.

Erweiterte Funktionen der Wiederherstellungskonsole freischalten

Danach bootest in die WHK->anmelden und gibst am prompt ein:
Set AllowAllPaths = True

Dann haste Zugriff auf alle Ordner und kannst per hand die datein löschen die dir der Virenscanner als infiziert gemeldet hat.

Gruß

dieser link hier:

Automatische Auswertung: http://www.hijackthis.de/

is für die katz!

NAV wird als BÖSE eingestuft, und zum >Haxdoor NULL info!

Von Haxdoor gibt es massig neue Varianten. Wenn sich der Haxdoor dann erst mal breitgemacht hat, kannst Du die Scanner und Hijackthis vegessen. Die Scanner finden Haxdoor nur zu dem Zeitpunkt, wenn er von der Webseite in das Temp-Verzeichnis im User-Profil geladen wird. Danach setzt er sich fest und wird aktiv.
Dann hilft nur noch die manuelle Methode.
Während die Kiste läuft, hast Du aber kaum eine Chance. Haxdoor installiert sich als Dienst und zusätzlich als Treiber. Diese lassen sich während der Laufzeit nicht beenden. Hijackthis zeigt diese Dienste nicht als Malware an.
Falls Du es doch schaffst, einen Prozess zu beenden setzt der andere wieder einen neuen Prozess inclusive Registry-Eintrag auf.
Am besten, Du baust die Platte in einen sauberen Rechner ein und suchst dann in Ruhe nach den Dateien und den Reg-Einträgen. Die Dateien und Dienste heißen in jeder Haxdoor-Variante anders.
Mit ein bischen Sucherei im system32 Pfad nach den aktuellsten Dateien kommst Du schnell dahinter, welche das sind. Wenn Du erstmal eine gefunden hast, kannst Du anhand der Größe die anderen herausfinden.
Es sind meistens vier verschiedene Dateigrößen mit unterschiedlichen Dateinamen vorhanden z.B. hz.dll, vdmt16.sys,WaiZ mit 20,9 kb oder winlow.sys, wz.dll, es mit 4 kb. Wenn Du mit Filealyzer in so eine Datei hineinschaust, kannst Du sehen wie die anderen Dateivarianten heißen. Diese stehen als Klartext im Hexcode.
Die entprechenden Dienste heißen dann z.B winlow oder vdmt16. Diese in der Registry zu finden ist relativ schwer, weil man darauf achten muß, daß man keinen Systemdienst löscht.
Falls das Problem noch bestehen sollte, kannst Du die gefundenen Dateien posten. Ich helfe Dir dann ein Stück weiter.

SOPHOS findet und löscht das Teil !

Am 25.01. konnten weder Sophos, Norton, AntiVir und eTrust mit heuristischer Suche die Haxdoor-Variante mit der mszx23.exe finden und entfernen.
Alles probiert und ich mach das nicht zum ersten Mal...
Verlaßt Euch bloß nicht blind auf Eure AV-Programme.