Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Haxdoor.U


Alias: Troj/Haxdoor-U, BackDoor-BAC

Trojan.Haxdoor.U ist ein Backdoor, welcher nicht autorisierten Fernzugriff
zum Computer erlaubt. Er kopiert sich als W32_SS.EXE in das Windows-Systemverzeichnis.
Trojan.Haxdoor.U startet einen Prozess Sdmapi (Anzeige-Name: KeSDM) und Boot32
(Anzeige: KeBoot) und erstellt folgenden Registrier-Eintrag:

Für Windows 9.x Systeme:

DEBUGG.DLL
P2.INI
KLOGINI.DLL
KLOG.SYS

Für Windows 2000/NT/XP Systeme:

BOOT32.SYS
C3.DLL
C3.SYS
C4.SYS
SDMAPI.SYS

Löscht die folgenden Files von %System%\drivers: (%System% = Windows-System)

Klif.sys
Klpf.sys


Er versucht Antivirenprogramme zu beenden bzw. zu deaktivieren.

Trojan.Haxdoor.U setzt die folgenden Registrier-Einträge:

HKLM\SYSTEM\RADMIN\2.0\Parametrs\DisableTrayIcon
HKLM\SYSTEM\CurrentControlSet\Control\Impersonate
HKLM\System\CurrentControlSet\Control\Session Management\EnforceWriteProtection

Je nachdem welches Betriebssystem installiert ist, setzt Trojan.Haxdoor.U
noch folgende Einträge:

Für Windows 9.X Systeme:

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices\TestServices\
DllName = debugg.dll

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices\TestServices\
EntryPoint = MemManager

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices\TestServices\
StackSize = 0


Für Windows 2000/NT/XP Systeme:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
debugg\DllName = debugg.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
debugg\Startup = MemManager

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
debugg\Impersonate = 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
debugg\Asynchronous = 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
debugg\MaxWait = 1


Folgende Key-Einträge zu den gestarteten Prozessen:

HKLM\SYSTEM\ControlSet001\Enum\RootLEGACY_SDMAPI
HKLM\SYSTEM\ControlSet001\Services\boot32
HKLM\SYSTEM\ControlSet001\Services\sdmapi
HKLM\SYSTEM\CurrentControlSet\Enum\RootLEGACY_SDMAPI
HKLM\SYSTEM\CurrentControlSet\Services\boot32
HKLM\SYSTEM\CurrentControlSet\Services\sdmapi


Trojan.Haxdoor.U lauert auf TCP Port 18961 und wartet auf Befehle.


Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie die Werte in der Registry.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.








Linktipps: Ballkleider