Het HaxDoor-virus maakt een verborgen proces. Bovendien verbergt het virus bestanden en registersleutels. De naam van het uitvoerbare bestand van het HaxDoor-virus kan variëren, maar de bestandsnaam is vaak Mszx23.exe. Veel varianten van dit virus plaatsen een stuurprogramma met de naam Vdmt16.sys of Vdnt32.sys op de computer. Het stuurprogramma wordt gebruikt om het virusproces te verbergen. Als u deze bestanden verwijdert, kunnen deze door de varianten van het HaxDoor-virus worden hersteld.
Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak tevens een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322756 Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003
Ga als volgt te werk om dit probleem op te lossen:
Druk het volgende Microsoft Knowledge Base-artikel af: Gebruik het artikel als richtlijn voor deze procedure.
307654 De herstelconsole installeren en gebruiken in Windows XP
Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
Ga naar de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Zoek en verwijder alle vermeldingen in de registersubsleutel die verwijzen naar 'drct16' of 'draw32'.
U ziet bijvoorbeeld vermeldingen die er ongeveer zo uitzien:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
Plaats de Windows XP-installatie-cd en start de computer opnieuw op vanaf de cd.
Druk vanuit het scherm Welkom bij Setup op R (repair) om de Windows herstelconsole te starten.
Selecteer het nummer van de Windows-installatie die u wilt herstellen. Dit nummer is doorgaans 1.
Typ desgevraagd het beheerderswachtwoord. Als er geen beheerderswachtwoord bestaat, drukt u op ENTER.
Ga bij de opdrachtprompt naar de map C:\Windows\System32. Typ bijvoorbeeld cd C:\Windows\System32.
Gebruik de opdracht ren (rename) om de volgende bestanden een andere naam te geven. Druk na elke opdracht op ENTER. Als u het bericht 'Bestand niet gevonden' ziet, gaat u naar het volgende bestand in de lijst.
ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad
Als u na afloop deze bestanden wilt verwijderen, typt u del *.bad.
Haal de Windows XP-installatie-cd uit het station en typ exit om de computer opnieuw op te starten.
Wanneer de computer opnieuw is opgestart, klikt u op Start en Uitvoeren. Typ regedit en klik op OK.
Zoek en verwijder de volgende registersubsleutels en alle eventuele items die onder elke subsleutel aanwezig zijn. Als bepaalde registersubsleutels uit deze lijst niet aanwezig zijn, gaat u naar de volgende subsleutel in de lijst.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
Zoek en verwijder alle vermeldingen met de bestandsnaam Mszx23.exe onder de volgende registersubsleutels:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Sluit de Register-editor af.
Controleer of uw antivirus- en antispywareprogramma's zijn bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.
De volgende malware is door antivirusleveranciers geïdentificeerd.
Symantec: Backdoor.Haxdoor.D
Trend Micro: BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL
PandaLabs: HAXDOOR.AW
F-Secure: Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al
Sophos: Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE
Kaspersky Lab: Backdoor.Win32.Haxdoor.bg
McAfee: BackDoor-BAC
