Mivercon Security Forum

Inleiding + Uitleg

* Om de uitleg van Goldun te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

We bespreken hier twee infecties die hetzelfde doel hebben en zich ongeveer hetzelfde gedragen, nl. Haxdoor en Goldun.
Gelukkig komt deze infectie in Nederland en België minder frequent voor, doch zijn er in de laatste 2 jaar toch aardig veel Nederlanders en Belgen ermee besmet geweest.
Dit gebeurt ofwel via een mail met een geïnfecteerde bijlage - of het bezoek aan illegale sites (cracksites vooral)

HaxDoor (ook gekend als Backdoor.Haxdoor - Troj/Haxdoor):

Haxdoor is een Trojan Horse die een backdoor opent op het besmette systeem. Via deze backdoor heeft men dus toegang tot je computer en gaat men gegevens stelen.
Haxdoor doelt dus vooral op paswoorden (van banken), maar het kan nog veel meer met je computer doen.
Een voorbeeld van zo'n Haxdoor backdoor is de toolkit "A-311 Death" die wordt gebruikt.


(image courtesy of F-Secure)

Zoals je ziet heeft deze Toolkit veel in zn mars.
Via deze Toolkit gaat men dus gegevens van de computer verzamelen en logs doorzenden naar de "hackers", die op hun beurt dan deze informatie online verkopen


(image courtesy of F-Secure)

Indien je met deze infectie te maken hebt is het belangrijk dat je je bank op de hoogte brengt (indien je dus aan online-banking doet) en je paswoorden zo snel mogelijk gaat veranderen éénmaal de infectie van je PC verwijderd is. Of, je kan de paswoorden via een andere "niet geïnfecteerde" computer wijzigen.

Kenmerken van deze infectie: GEEN

Ik bedoel hiermee, deze infectie gebruikt RootKit technieken, waar het dus de bedoeling heeft om niet opgemerkt te worden zodat het rustig zijn taak kan uitvoeren. Dus men gaat geen popups zien, men gaat niet doorverwezen worden naar andere sites, kortom, men merkt niet dat deze infectie aanwezig is.
Wel gebeurt het vaak dat er frequent BSODs ontstaan door de rootkit zelf.
Het probleem van een rootkit is, in de meeste gevallen worden deze dus ook niet gedetecteerd door een AntivirusScanner omdat ze verborgen zijn - doch vele scanners hebben tegenwoordig de optie om deze dan toch te detecteren. Alsook Rootkitscanners kunnen deze probleemloos detecteren.

Er zijn wel enkele aanwijzingen in een HijackThislog te zien:

Gekende varianten te zien in een HijackThislog:
(nota: In de meeste logs zal er dus (file missing) naast de hieronder aangegeven regels staan - dit komt omdat het bestand zelf in de meeste gevallen verborgen is en HijackThis die dus ook niet ziet.)

Haxdoor: ****32.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll
O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
O20 - Winlogon Notify: semd32 - C:\WINDOWS\SYSTEM32\semd32.dll
O20 - Winlogon Notify: mmxF32 - C:\WINDOWS\SYSTEM32\mmxF32.dll
O20 - Winlogon Notify: xmsk32 - C:\WINDOWS\SYSTEM32\xmsk32.dll
O20 - Winlogon Notify: regP32 - C:\WINDOWS\SYSTEM32\regP32.dll
O20 - Winlogon Notify: mmx432 - C:\WINDOWS\SYSTEM32\mmx432.dll
O20 - Winlogon Notify: sslx32 - C:\WINDOWS\SYSTEM32\sslx32.dll

Haxdoor: ****16.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
O20 - Winlogon Notify: ppts16 - C:\WINDOWS\SYSTEM32\ppts16.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: skyu16 - C:\WINDOWS\SYSTEM32\skyu16.dll

Haxdoor: ****xt.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll

Haxdoor: ****tt.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll

Haxdoor: ****dx.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll

Haxdoor: ****01.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\SYSTEM32\yvpp01.dll
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\SYSTEM32\yvbb01.dll

Haxdoor: ****ax.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters.)

O20 - Winlogon Notify: vistax - C:\WINDOWS\SYSTEM32\vistax.dll

Haxdoor: ****3a.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: dvb03a - C:\WINDOWS\SYSTEM32\dvb03a.dll

Haxdoor: ****gs.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: sertgs - C:\WINDOWS\SYSTEM32\sertgs.dll
O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
O20 - Winlogon Notify: xcttgs - C:\WINDOWS\SYSTEM32\xcttgs.dll

Haxdoor: ****hh.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: bmtdhh - C:\WINDOWS\SYSTEM32\bmtdhh.dll

Haxdoor ****44.dll
(**** staat voor de haxdoor key, dit zijn willekeurige gekozen letters/cijfers.)

O20 - Winlogon Notify: winf44 - C:\WINDOWS\SYSTEM32\winf44.dll

Andere:

O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
O20 - Winlogon Notify: twpkad - C:\WINDOWS\SYSTEM32\twpkad.dll
O20 - Winlogon Notify: debugg - C:\WINDOWS\SYSTEM32\debugg.dll
O20 - Winlogon Notify: yvsvga - C:\WINDOWS\SYSTEM32\yvsvga.dll
O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
O20 - Winlogon Notify: mmx17g - C:\WINDOWS\SYSTEM32\mmx17g.dll
O20 - Winlogon Notify: yvprgb - c:\windows\system32\yvprgb.dll
O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll
O20 - Winlogon Notify: ydsvgd - C:\WINDOWS\SYSTEM32\ydsvgd.dll
O20 - Winlogon Notify: xopptp - C:\WINDOWS\SYSTEM32\xopptp.dll
O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll
O20 - Winlogon Notify: rmk8ot - C:\WINDOWS\SYSTEM32\rmk8ot.dll
O20 - Winlogon Notify: svkvpn - C:\WINDOWS\SYSTEM32\svkvpn.dll
O20 - Winlogon Notify: utgrbe - C:\WINDOWS\SYSTEM32\utgrbe.dll
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: rgbopx - C:\WINDOWS\SYSTEM32\rgbopx.dll
O20 - Winlogon Notify: ewsmsg - C:\WINDOWS\SYSTEM32\ewsmsg.dll
O20 - Winlogon Notify: upsctl - C:\WINDOWS\SYSTEM32\upsctl.dll

O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe]

Hierboven werden enkel de zichtbare componenten in een HijackThislog besproken - Om een meer gedetailleerd overzicht te hebben van bovenstaande varianten en de rootkitcomponenten, Klik hier

* Om de uitleg van Goldun te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing

Trojan.Goldun (ook gekend als Trojan-Dropper.Win32.Agent.dz, PWS/Goldun):

* Om de uitleg van Haxdoor te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

Deze heeft dus hetzelfde doel als de Haxdoor variant, en die is: gegevens stelen van je Computer.
Hier doelt het dus vooral op paswoorden die gebruikt worden voor een e-gold account. Maar andere info en paswoorden kunnen uiteraard ook gestolen worden.
Deze gebruikt dus ook RootKit technieken om onopgemerkt zijn taak te kunnen uitvoeren.

Er zijn wel enkele aanwijzingen in een HijackThislog te zien:

Gekende varianten te zien in een HijackThislog:
(nota: In de meeste logs zal er dus (file missing) naast de hieronder aangegeven regels staan - dit komt omdat het bestand zelf in de meeste gevallen verborgen is en HijackThis die dus ook niet ziet.)

O20 - Winlogon Notify: aeskap - C:\WINDOWS\SYSTEM32\aeskap.dll
O20 - Winlogon Notify: agpbrdg0 - C:\WINDOWS\SYSTEM32\agpbrdg0.dll
O20 - Winlogon Notify: alcomt - C:\WINDOWS\SYSTEM32\alcomt.dll
O20 - Winlogon Notify: alcopt - C:\WINDOWS\SYSTEM32\alcopt.dll
O20 - Winlogon Notify: arprmdg0 - C:\WINDOWS\SYSTEM32\arprmdg0.dll
O20 - Winlogon Notify: asusrx20 - C:\WINDOWS\SYSTEM32\asusrx20.dll
O20 - Winlogon Notify: ati2kaag - C:\WINDOWS\SYSTEM32\ati2kaag.dll
O20 - Winlogon Notify: ati2krtg - C:\WINDOWS\SYSTEM32\ati2krtg.dll
O20 - Winlogon Notify: ati2paag - C:\WINDOWS\SYSTEM32\ati2paag.dll
O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\SYSTEM32\atiddaxx.dll
O20 - Winlogon Notify: atietaxx - C:\WINDOWS\SYSTEM32\atietaxx.dll
O20 - Winlogon Notify: atixdaxx - C:\WINDOWS\SYSTEM32\atixdaxx.dll
O20 - Winlogon Notify: atixdbxx - C:\WINDOWS\SYSTEM32\atixdbxx.dll
O20 - Winlogon Notify: avload32 - C:\WINDOWS\SYSTEM32\avload32.dll
O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
O20 - Winlogon Notify: bootrom8 - C:\WINDOWS\SYSTEM32\bootrom8.dll
O20 - Winlogon Notify: bt848rom - C:\WINDOWS\SYSTEM32\bt848rom.dll
O20 - Winlogon Notify: cdscsix3 - C:\WINDOWS\SYSTEM32\cdscsix3.dll
O20 - Winlogon Notify: ddirectz - C:\WINDOWS\SYSTEM32\ddirectz.dll
O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
O20 - Winlogon Notify: directut - C:\WINDOWS\SYSTEM32\directut.dll
O20 - Winlogon Notify: divxps - C:\WINDOWS\SYSTEM32\divxps.dll
O20 - Winlogon Notify: divxrs - C:\WINDOWS\SYSTEM32\divxrs.dll
O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O20 - Winlogon Notify: docent2 - C:\WINDOWS\SYSTEM32\docent2.dll
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
O20 - Winlogon Notify: emldvc - C:\WINDOWS\SYSTEM32\emldvc.dll
O20 - Winlogon Notify: extxerox - c:\WINDOWS\SYSTEM32\extxerox.dll
O20 - Winlogon Notify: extfpu - C:\WINDOWS\SYSTEM32\extfpu.dll
O20 - Winlogon Notify: fanxctrl - C:\WINDOWS\SYSTEM32\fanxctrl.dll
O20 - Winlogon Notify: flashdma - C:\WINDOWS\SYSTEM32\flashdma.dll
O20 - Winlogon Notify: gatwxkey - C:\WINDOWS\SYSTEM32\gatwxkey.dll
O20 - Winlogon Notify: f3dsl - C:\WINDOWS\SYSTEM32\lsd_f3.dll
O20 - Winlogon Notify: F8adsl - C:\WINDOWS\SYSTEM32\MSplg7.dll
O20 - Winlogon Notify: flashdrvr - C:\WINDOWS\SYSTEM32\flashdrvr.dll
O20 - Winlogon Notify: gatexkey - C:\WINDOWS\SYSTEM32\gatexkey.dll
O20 - Winlogon Notify: gdiwxp - C:\WINDOWS\SYSTEM32\gdiwxp.dll
O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\System32\gdwxp3.dll
O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
O20 - Winlogon Notify: ibudu - C:\WINDOWS\SYSTEM32\ibudu.dll
O20 - Winlogon Notify: ideusr50 - C:\WINDOWS\SYSTEM32\ideusr50.dll
O20 - Winlogon Notify: ies4dll - C:\WINDOWS\SYSTEM32\ies4dll.dll
O20 - Winlogon Notify: iesdl4l - C:\WINDOWS\SYSTEM32\iesdl4l.dll
O20 - Winlogon Notify: isodvrtg - C:\WINDOWS\SYSTEM32\isodvrtg.dll
O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll
O20 - Winlogon Notify: ksapgh - C:\WINDOWS\SYSTEM32\ksapgh.dll
O20 - Winlogon Notify: lgn1216a - C:\WINDOWS\SYSTEM32\lgn1216a.dll
O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll
O20 - Winlogon Notify: logon032 - C:\WINDOWS\SYSTEM32\logon032.dll
O20 - Winlogon Notify: logon16x - C:\WINDOWS\SYSTEM32\logon16x.dll
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll
O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll
O20 - Winlogon Notify: md4hsh - C:\WINDOWS\SYSTEM32\md4hsh.dll
O20 - Winlogon Notify: mdfpro - C:\WINDOWS\SYSTEM32\mdfpro.dll
O20 - Winlogon Notify: mi5035a0 - C:\WINDOWS\SYSTEM32\mi5035a0.dll
O20 - Winlogon Notify: mmcdll - C:\WINDOWS\SYSTEM32\mmcdll.dll
O20 - Winlogon Notify: mmxeroxk - C:\WINDOWS\SYSTEM32\mmxeroxk.dll
O20 - Winlogon Notify: mplink - C:\WINDOWS\SYSTEM32\mplink.dll
O20 - Winlogon Notify: mp3res - C:\WINDOWS\SYSTEM32\mp3res.dll
O20 - Winlogon Notify: nclabydll - C:\WINDOWS\SYSTEM32\nclabydll.dll
O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll
O20 - Winlogon Notify: nucdrvdll - C:\WINDOWS\SYSTEM32\nucdrvdll.dll
O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
O20 - Winlogon Notify: nvsystl0 - C:\WINDOWS\SYSTEM32\nvsystl0.dll
O20 - Winlogon Notify: obbf115 - C:\WINDOWS\SYSTEM32\obbf115.dll
O20 - Winlogon Notify: obbn13t - C:\WINDOWS\SYSTEM32\obbn13t.dll
O20 - Winlogon Notify: openglss - C:\WINDOWS\SYSTEM32\openglss.dll
O20 - Winlogon Notify: openglwx - C:\WINDOWS\SYSTEM32\openglwx.dll
O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
O20 - Winlogon Notify: printpnp - C:\WINDOWS\SYSTEM32\printpnp.dll
O20 - Winlogon Notify: printpn2 - C:\WINDOWS\SYSTEM32\printpn2.dll
O20 - Winlogon Notify: prtsks - C:\WINDOWS\SYSTEM32\prtsks.dll
O20 - Winlogon Notify: prwsks - C:\WINDOWS\SYSTEM32\prwsks.dll
O20 - Winlogon Notify: psksds - C:\WINDOWS\SYSTEM32\psksds.dll
O20 - Winlogon Notify: px86emul - C:\WINDOWS\SYSTEM32\px86emul.dll
O20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
O20 - Winlogon Notify: rdrVR2 - C:\WINDOWS\SYSTEM32\rdrVR2.dll
O20 - Winlogon Notify: rege2usb - C:\WINDOWS\SYSTEM32\rege2usb.dll
O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll
O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
O20 - Winlogon Notify: rsdapi - C:\WINDOWS\System32\rsdapi.dll
O20 - Winlogon Notify: satad640 - C:\WINDOWS\SYSTEM32\satad640.dll
O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O20 - Winlogon Notify: satdll - C:\WINDOWS\SYSTEM32\satdll.dll
O20 - Winlogon Notify: satmmc - C:\WINDOWS\SYSTEM32\satmmc.dll
O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
O20 - Winlogon Notify: sdcard98 - C:\WINDOWS\SYSTEM32\sdcard98.dll
O20 - Winlogon Notify: se500mdm - C:\WINDOWS\SYSTEM32\se500mdm.dll
O20 - Winlogon Notify: se633mxx - C:\WINDOWS\SYSTEM32\se633mxx.dll
O20 - Winlogon Notify: sha1hsh - C:\WINDOWS\SYSTEM32\sha1hsh.dll
O20 - Winlogon Notify: sksdll - C:\WINDOWS\SYSTEM32\sksdll.dll
O20 - Winlogon Notify: sysprint - C:\WINDOWS\SYSTEM32\sysprint.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
O20 - Winlogon Notify: tcpwrk - C:\\WINDOWS\SYSTEM32\tcpwrk.dll
O20 - Winlogon Notify: upsctrl0 - C:\WINDOWS\SYSTEM32\upsctrl0.dll
O20 - Winlogon Notify: vxtnav - C:\WINDOWS\SYSTEM32\vxtnav.dll
O20 - Winlogon Notify: wartamll - C:\WINDOWS\SYSTEM32\wartamll.dll
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
O20 - Winlogon Notify: winprint - C:\WINDOWS\SYSTEM32\winprint.dll
O20 - Winlogon Notify: wndtx1 - C:\WINDOWS\SYSTEM32\wndtx1.dll
O20 - Winlogon Notify: wsmsge - C:\WINDOWS\SYSTEM32\wsmsge.dll
O20 - Winlogon Notify: xartcd5 - C:\WINDOWS\SYSTEM32\xartcd5.dll
O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll
O20 - Winlogon Notify: xkeyshll - C:\WINDOWS\SYSTEM32\xkeyshll.dll
O20 - Winlogon Notify: xtav3des - C:\WINDOWS\SYSTEM32\xtav3des.dll
O20 - Winlogon Notify: zopenssl - C:\WINDOWS\SYSTEM32\zopenssl.dll

De volgende regels zijn standaard niet in een HijackThislog te zien wanneer de RootKit actief is. Eénmaal de Rootkit is uitgeschakeld worden volgende zichtbaar:

O21 - SSODL: MemMan - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\MemMan.dll
O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\UpperHost.dll

Andere:

F2 - REG:system.ini: Shell=explorer.exe vmmdiag32.exe
O4 - HKCU\..\Run: [kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe

Eén van deze varianten infecteert ook de iexplore.exe.

msdom32.dll
msvcrl.dll

Hierboven werden enkel de zichtbare componenten in een HijackThislog besproken - Om een meer gedetailleerd overzicht te hebben van bovenstaande varianten en de rootkitcomponenten, Klik hier

* Om de uitleg van Haxdoor te lezen, Klik hier
* Om meteen naar de verwijderinstructies te gaan, Klik hier

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing

Verwijdermethode om Haxdoor of Goldun te verwijderen.

Indien iexplore.exe ook geïnfecteerd is door deze infectie zal haxfix deze desinfecteren.

* Download haxfix.exe.
Mirror
Plaats het op je bureaublad.
Sluit alle andere programma's en sluit alle open vensters.
Dubbelklik op haxfix.exe om de tool te starten.
Er opent een rood doschermpje.
Kies voor Optie 1: Make logfile door op 1 te drukken.
Dit kan even duren. Wanneer HaxFix hiermee klaar is opent er een kladblokbestandje (haxlog.txt)

Deze bovenstaande stap (Make LogFile) is belangrijk vooraleer je de infectie zelf verwijderd!

Daarna, éénmaal je de log hebt...

* Start Haxfix opnieuw door op je bureaublad op het icoontje haxfix.exe te klikken.

Sluit alle andere vensters, de computer zal tijdens het runnen van HaxFix herstarten.
Druk op 2 en druk op Enter om Optie 2 "Run auto fix" te starten.
Volg de instructies op het scherm.
De computer zal opnieuw starten.
Als Haxfix klaar is, opent er een kladblokbestand (c:\haxfix.txt).
In deze log kan je het verloop van het verwijderproces zien met als resultaat dat de infectie zou moeten verwijderd zijn.

Nota: Optie 3. Run manual fix en optie 4. Run unknow fix zijn niet aangeraden om uit te voeren op eigen houtje! Dit omdat je in dit geval begeleiding nodig hebt bij het uitvoeren van deze opties. Indien je begeleiding wilt, registreer je gratis op dit forum en klik daarna op deze link om je HijackThislog te plaatsen.



Indien haxfix de computer laat herstarten, en er opent geen logfile, dan tik je in het uitvoeren venster dit commando in: %systemdrive%\haxfix.exe /after
Druk dan op Enter.

Zie je bij gebruik van optie 2 in de logfile deze melding verschijnen in het deel na de reboot: "registrysettings failed"
dan geef je in het uitvoerenvenster dit commando in: %systemdrive%\haxfix.exe /reset
Druk op Enter.


De infectie zou nu verwijderd moeten zijn.

Indien dit niet het geval is, of je durft deze infectie niet op eigen houtje gaan verwijderen aangezien je niet zeker bent, registreer je gratis op dit forum en klik daarna op deze link om je HijackThislog te plaatsen. Want in dit geval kan het zijn dat je met een nieuwe variant te maken hebt. Geef een duidelijke omschrijving in de titel en in je bericht welk probleem je hebt. Dan zal iemand je zo snel mogelijk helpen - de hulp die hier gegeven wordt is ook gratis.
Voor instructies in verband met HijackThis, lees hier.

Copyright © BlueMedicine.be
Gelieve bovenstaande info niet te kopieren zonder toestemming of verwijzing