# BDS/HacDef.073.B.1



## Rechenknecht (11 Juli 2004)

Hallo Leute,
sagt euch der Wurm etwas? Wie bekomme ich den von der Platte?

Danke schon mal im Voraus.

PS. Komme nur über Umweg auf diese Seite.


----------



## Anonymous (11 Juli 2004)

Moin moin Rechenknecht,

da hast du vermutlich einen ausg'schamten Fiesling angelockt, den Backdoor "Hacker Defender 073". Den hat man vor kurzem schon paar mal totgeschlagen, aber der erholt sich wieder. 

Schau mal, ob bei dir die Datei C:\WINDOWS\hxdefdrv.sys herumkraucht, und geh dann mal dort hin:

Trendmicro

Wenn's nicht funzt, dann hier weiterarbeiten (im schlimmsten Fall alles):

Virusbtn

Nochmal Trendmicro

Symantec

Vil.nai.com

Und nochmal Trendmicro

Viel Erfolg,
Hans-J

_@ Gast Hans-J
Ich habe mal Deine Links "scharfgemacht" und ein bisschen gekürzt. Ist für User etwas einfacher und übersichtlicher.
Dino/Mod_


----------



## Rechenknecht (12 Juli 2004)

@ Hans-J.
Vielen Dank für die Informationen. Leider ist dem Wurm so nicht beizukommen. 
Die Datei C:\WINDOWS\hxdefdrv.sys wird immer wieder neu hergestellt, da sich scheinbar der Eintrag in der Registrierung geändert hat. Hier den richtigen zu finden ist fast nicht möglich, wenn man nicht weis welchen Eintrag man sucht.

Hat jemand eine Idee, welcher Schlüssel eingetragen wird, um die hxdefdrv.sys jeder mal neu herzustellen?


----------



## Anonymous (12 Juli 2004)

*Hacker Defender 073 nicht totzukriegen*

@Dino
Danke fürs Scharfmachen der Links, ich weiß ja nicht, ob das erlaubt ist.


@Rechenknecht
OK, dann nochmal so probieren:


Suche nach der Datei  winunins.ini, und dort nach dem Eintrag unter [Einstellungen] 

section:
ServiceName=HackerDefender100
DriverFileName=hxdefdrv.sys



Zum Entfernen:
1. PC im abgesicherten Modus hochfahren


2. RegEdit öffnen, folgende Schlüssel suchen und entfernen:

	[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"Network Service"="C:\\WINNT\\svhost.exe -sr -1"

	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Network Service"="C:\\WINNT\\svhost.exe -sr -1"


3. Folgende Dateien entfernen: C:\Winnt\ 23052004.exe, hxdefdrv.sys, sezzbc.ig2, vzcdaq.2nh


4. RegEdit öffnen, alle Schlüssel suchen, die ".outhost." enthalten, und den Text im Schlüssel entfernen, den Schlüssel selbst beibehalten;
z.B. Default_Page_URL "http://ykkgcg.outhost.info/" Rechtsklick, Text entfernen, OK.
Achtung, nur nach ".outhost." suchen, der erste Teil ("ykkgcg") ist möglicherweise variabel!


5. Datei C:\WINNT\system32\drivers\etc\.hosts öffnen mit Notepad, _ALLES_ außer der Zeile "127.0.0.1	localhost" löschen.


6. Jetzt sollte es gehen, Windows im Normalmodus starten.


Ansonsten weiß ich auch nicht weiter  :-? 

Viel Erfolg 
Hans-J.


----------



## Anonymous (12 Juli 2004)

*Hacker Defender*

PS: Wenn man nach dem Löschen von hxdefdrv.sys hochfährt, dann in der Kommandozeile erstmal folgendes eingeben:

NET STOP HACKERDEFENDER100

Dann startet er wenigstens nicht mehr beim Hochfahren.

Nach 45 sec. Wartezeit meckert der Rechner, daß der Service nicht verfügbar (aber noch vorhanden!!!) ist. Jetzt kannst du ihm den Rest geben, wie geschildert.

Gruß von
Hans-J.


----------



## Rechenknecht (13 Juli 2004)

@ Hans-J.
Danke, dass war es. Jetz ist er weg. :lol:  :bussi:


----------

