Author Topic: MS Firewall deaktiviert: hdaudio.exe usbflash.exe  (Read 10104 times)

Offline Baustelle

  • Full Member
  • ***
  • Posts: 57
  • Karma: 0
MS Firewall deaktiviert: hdaudio.exe usbflash.exe
« on: Thursday, 05.02.2009 14:09 »
Symtome:

Die Firewall ist deaktiviert. Wenn die Firewall manuell aktiviert wird,  dann ist sie nach ca. 1 Minute wieder inaktiv.

Mit dem Programm „TCPView“ erkennt man, dass das Programm „hdaudio.exe“ einmal pro Minute für ca. 3 Sekunden eine Verbindung zu dem Host „srv84.chat.ru“ über den Port 80 aufbaut. Nachfolgend der Auszug aus dem entsprechenden Log.

HDaudio.exe:2968   TCP   pc-105.xxxxxx.de:1566   srv84.chat.ru:http   SYN_SENT


Behebung:

Der befallen PC muss über ein LiveCD gestartet werden die folgende Features enthält:
- Autorun ist für alle Datenträgern inaktiv
- Read/Write-Zugriff auf den befallenen Datenträger
- Tool zur Bearbeitung der Registry auf dem befallenen Datenträger( z.B. regedit -> Datei - > Struktur laden)

Auf dem Systemdatenträger befinden sich folgende Dateien:

C:\Windows\hdaudio.exe
C:\autorun.inf
C:\usbflash.exe
Weiterhin können sich in der Root aller angeschlossenen Datenträger die Dateien „autorun.inf“ und „usbflash.exe“ befinden.

Diese Dateien müssen gelöscht werden.

Der Schädling setzt folgende Registry-Keys:

[HKEY_LOCAL_MACHINE\dktest\ControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\HDaudio.exe"="C:\\WINDOWS\\HDaudio.exe:*:Enabled:Explorer"

(dieser Key muss gelöscht werden)

[HKEY_LOCAL_MACHINE\dktest\ControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
":TCP"=":TCP:*:Enabled:Explorer"

(dieser Key muss gelöscht werden)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000

(der Wert des dword muss auf 1 gesetzt werden)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications"=dword:00000001

(der Wert des dword muss auf 0 gesetzt werden)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Defination Audio"="C:\\WINDOWS\\HDaudio.exe"

(dieser Key muss gelöscht werden)

Alle Key aus „[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet“ müssen auch für „CurrentControlSet001“ und „CurrentControlSet002“ geprüft und ggf. entfernt werden. Zur Sicherhheit sollten auch die Einträge unter:
„[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]“ geprüft werden.
« Last Edit: Thursday, 26.02.2009 08:58 by Baustelle »