Ursache
Dieses Problem kann auftreten, wenn der Computer mit einer Variante des HaxDoor-Virus infiziert ist.
Der HaxDoor-Virus erstellt einen ausgeblendeten Prozess. Darüber hinaus blendet der Virus Dateien und Registrierungsschlüssel aus. Kann der Name des HaxDoor-Virus der ausführbaren Datei variieren, aber Mszx23.exe ist häufig der Name der Datei. Meiste Varianten dieses Virus legten einen Treiber mit Name Vdmt16.sys oder Vdnt32.sys auf dem Computer ab. Dieser Treiber wird verwandt, um den Virusprozess auszublenden. Wenn Sie sie löschen, können die HaxDoor-Virusvarianten diese Dateien wiederherstellen.
Lösung
Warnung wenn Sie die Registrierung falsch mit dem Verwenden von Registrierungs-Editor oder Hilfe einer anderen Methode ändern, konnten Schwerwiegende Probleme auftreten. Diese Probleme erforderten möglicherweise Neu-Installation ihres Betriebssystems. Microsoft kann dafür nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung um eigenes ihr Risiko.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
1. Drucken Sie den folgenden Artikel der Microsoft Knowledge Base. Verwenden Sie den Artikel als eine Richtlinie an dieser Prozedur.
307654 (
http://support.microsoft.com/kb/307654/) Installiert die Wiederherstellungskonsole und wie kann in Windows XP die Wiederherstellungskonsole einsetzen
2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Regedit ein und klicken Sie auf OK dann.
3. Gehen Sie zu dem folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify
4. Suchen Sie beliebige Einträge in dem Registrierungsschlüssel, die auf "Drct16" oder "Draw32" verweisen, und löschen Sie.
Beispielsweise sehen Sie möglicherweise Einträge, die folgenden ähneln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
5. Legen Sie die Windows XP-Installations-CD ein und Sie starten den Computer von der CD neu dann.
6. Drücken Sie in dem Welcome to Setup Bildschirm Taste (Reparatur) um die Windows-Wiederherstellungskonsole zu starten.
7. Wählen Sie die Nummer aus, die der Windows-Installation entspricht, die Sie reparieren. Diese Nummer ist in der Regel 1.
8. Geben Sie das Administrator-Kennwort ein, wenn Sie dazu aufgefordert werden. Drücken Sie EINGABETASTE, wenn ein Administrator-Kennwort nicht vorhanden ist.
9. Verschieben Sie an der Eingabeaufforderung in den C:\Windows\System32-Ordner. Geben Sie cd C:\Windows\System32 ein.
10. Verwenden Sie den Befehl Ren (Umbenennung) um die folgenden Dateien wie das Zeigen umzubenennen. Denken Sie daran, EINGABETASTE nach jedem Befehl zu drücken. Wechseln Sie, wenn Sie eine Meldung "Datei nicht wurde gefunden" anzeigen, zu der nächsten Datei in der Liste.ren 1.a3d 1.a3d.bad
ren cm.dll cm.dll.bad
ren cz.dll cz.dll.bad
ren draw32.dll draw32.dll.bad
ren drct16.dll drct16.dll.bad
ren dt163.dt dt163.dt.bad
ren fltr.a3d fltr.a3d.bad
ren hm.sys hm.sys.bad
ren hz.dll hz.dll.bad
ren hz.sys hz.sys.bad
ren i.a3d i.a3d.bad
ren in.a3d in.a3d.bad
ren klo5.sys klo5.sys.bad
ren klogini.dll klogini.dll.bad
ren memlow.sys memlow.sys.bad
ren mszx23.exe mszx23.exe.bad
ren p2.ini p2.ini.bad
ren ps.a3d ps.a3d.bad
ren redir.a3d redir.a3d.bad
ren tnfl.a3d tnfl.a3d.bad
ren vdmt16.sys vdmt16.sys.bad
ren vdnt32.sys vdnt32.sys.bad
ren w32tm.exe w32tm.exe.bad
ren WD.SYS WD.SYS.bad
ren winlow.sys winlow.sys.bad
ren wmx.a3d wmx.a3d.bad
ren wz.dll wz.dll.bad
ren wz.sys wz.sys.bad
Geben Sie del *.bad ein, wenn Sie die Dateien löschen möchten, wenn Sie fertig sind.
11. Entfernen Sie die Windows XP-Installations-CD, und dann geben Sie Beenden ein, den Computer neu zu starten.
12. Klicken Sie auf Start, wenn der Computer neu gestartet wird, klicken Sie auf Ausführen, geben Sie Regedit ein und klicken Sie dann auf OK.
13. Suchen Sie beliebige Einträge und nach den folgenden Registrierungsteilschlüsseln, die möglicherweise unter jedem Teilschlüssel vorhanden sind, und löschen Sie. Verschieben Sie zu dem nächsten Unterschlüssel in der Liste, wenn beliebige Registrierungsunterschlüssel aus dieser Liste nicht vorhanden sind.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VFILT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VFILT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
14. Suchen Sie beliebige Einträge, die den Mszx23.exe-Namen der Datei unter den folgenden Registrierungsteilschlüsseln enthalten, und löschen Sie:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
15. Beenden Sie den Registrierungseditor.
16. Stellen Sie sicher, dass mit den neusten Definitionen ihre Antivirus- und ihre Anti-spyware-Programm aktualisiert werden und sich ein vollständiges Systemscan verhalten.
Das folgende Malware ist von Virusherstellern identifiziert worden.
Symantec: Backdoor.Haxdoor.D
Trend Micro: BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL
PandaLabs: HAXDOOR.AW
F-Secure: Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al
Sophos: Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE
Kaspersky Lab: Backdoor.Win32.Haxdoor.bg
McAfee: BackDoor-BAC
