hallo,

ich weiß, daß dieses Thema hier bestimmt schon behandelt wurde, dennoch möchte ich an dieser Stelle noch einmal ganz konkrete Fragen stellen.

Ich selbst bin immer im Internet und habe nie Viren oder Trojaner. Ich habe meinen Rechner "nur" mit zonealarm gesichert und lasse ganz selten einmal antivir und pestpatrol drüber.

Bei anderen Leuten, welchen ich hin und wieder helfen muss sieht dies ganz anders aus.
So habe ich die letzten Tage ein Problem am Telefon zu bewältigen. In einem Anruf wurde mir erzählt von einem Rechner der immer wieder herunterfährt, oft ohne dass ein Programm läuft voll ausgelastet ist (CPU 100%) und auch sonst "spinnt". Er war stets mit Zonealarm gesichert. Ich hab mir dann die laufenden Prozesse durchgeben lassen und was in run eingetragen ist. Es lief zwar so einiges was wir beendet haben und aus dem Autostart warfen - nur bei einer Sache war ich nicht sicher.
Ein Prozess "defragfat32.exe" kam mir seltsam vor. Ich empfahl Antivir und Pestpatrol laufen zu lassen und sah selbst im Internet nach. Da Antivir und Pestpatrol nichts brachten und ich mir nun klar war, daß dies dennoch ein Schädling war empfahl ich diese Datei im system32 zu löschen und in der Registrie zu suchen. Hier wurden wir nicht fündig. Beim nächsten Hochfahren war defrag32.exe wieder im Autostart und wieder im system32. (Systemwiederherstellung ist deaktiviert).

Da das System auch sonst vesifft war beschlossen wir es vollständig neu zu machen. Alle Partitionen wurden gelöscht, neu erstellt und ein neues XP (SP1)installiert (und alle neuen XP Updates) . Sofort wurde Zonearlarm draufgemacht (Aktive X deaktiviert) und XPantispy. Erst dann machten wir ein DFÜ für die Flat. Statt des IE namen wir Firefox.

Und jetzt kommt der Hammer:

Kaum im Internet begann der Rechner zu spinnen und fuhr herunter. Neu gestartet fand sich in den Prozessen ein "defragfatx.exe" und ebenso in (msconfig) Autostart und System32.

Nun die Preisfrage: Woher kommt dieser Übeltäter (es war ja sonst gar nichts mehr auf dem Rechner und der Firewall stand auf hoch) und wie bekommt man ihn entgültig weg (Antivir und Pestpatrol helfen ja nicht) und vor allem auch wenn man ihn wegbekommt wie kann man verhindern daß er gleich wieder da ist???

Wir werden jetzt wohl auch einmal HijackThis machen, aber auch das nutzt nur was wenn man sich das Teil nicht zehn Minuten später wieder holt!

Wer hat ähnliche Erfahrungen, wer hat ne Lösung?

Danke

@tar
dein problem
http://www.sophos.de/virusinfo/analyses/w32sdbotss.html
setze das system neuauf, format c
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

chaosman

hallo

das ist ja das Problem, genau das haben wir ja gemacht, das "System neu aufgesetzt"

es wurde neben C sogar alle anderen Partitionen vollständig gelöscht (damit ganz sicher alles weg ist) und neu erstellt dann formatiert und dann ein "jungfräuliches" XP draufgemacht. Nur XP Antispy und Zonealarm installiert und schon war es wieder da.Was soll es also nützen das jetzt sofort nocheinmal zu machen, wenn ich nicht weiß woher es kommt. (Trotz hochgestelltem Firewall. deaktiviertem AktiveX und null installierten Programmen, Tools und keine besuchte Internetseiten.)
Weiß niemand wie dieser Schädling übertragen wird und was man machen kann um es zu verhindern.

http://www.sophos.de/virusinfo/analyses/w32sdbotss.html

was hat W32/Sdbot-SS mit unserem Problem zu tun?

Danke für die Antwort

@tar

was hat W32/Sdbot-SS mit unserem Problem zu tun?
es ist dein problem

"jungfräuliches" XP
vll ein schon verseuchtes system?

Da das System auch sonst vesifft war beschlossen wir es vollständig neu zu machen. Alle Partitionen wurden gelöscht, neu erstellt und ein neues XP (SP1)installiert (und alle neuen XP Updates)

warum kein sp2?

setze dein system nach der anleitung auf den ich dir gepostet habe.
dann müßte es gehen

chaosman

ok. defragfat32 ergibt auf dieser Seite einen Sinn

unter defragfatx kann ich nichts finden. Wird aber alles das selbe sein, da ich oft jetzt gelesen habe dass es diesen in zig Varianten gib daher meine Überschrift defragfat****

W32/Sdbot-SS ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.

W32/Sdbot-SS kopiert sich als defragfat32.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, damit er beim Systemstart aktiviert wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows DLL Loader
defragfat32.exe

W32/Sdbot-SS verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehle von einem remoten Anwender erhalten hat.

Ganz klar wie man den bekommt ist mir dennoch nicht

Gruß

"jungfräuliches" XP
vll ein schon verseuchtes system?

Das kann ja wohl nicht sein, da es von der Original CD installiert wird. SP2 muss erst runtergeladen werden. Dazu muss man im Internet sein. Bis dahin ist das Problem schon wieder da.

Danke für die Antworten.

Das mit dem W32/Sdbot-SS = defragfat32 habe ich bislang beim googeln nirgendwo gefunden.

Wie man den also bekommt würde mich noch interessieren. Bevor man zum erstenmal ins Internet geht hat man ja den Nachrichtendienst deaktiviert und einen Firewall eingerichtet. Ansonsten wurde alles berücksichtigt (bis auf SP2) aber ansonsten alle Serviceupdatetes für XP SP1

Zitat:

Das mit dem W32/Sdbot-SS

Hi
dann schau doch mal hier ist sehr aufschlussreich
wenn Du mich fragst kannste neu aufsetzen


Gruß Gigamail

Hallo,

mach das, was in der Anleitung steht und danach ist dein Problem erledigt.

Zitat:

Das mit dem W32/Sdbot-SS = defragfat32 habe ich bislang beim googeln nirgendwo gefunden.

http://www.google.de/search?q=defrag...de-DE:official

hab nach defragfatx gesucht

http://www.google.de/search?hl=de&cl...a=lr%3Dlang_de

ok neu aufsetzten. Aber dennoch würde mich jetzt einfach interessieren wie der sich überträgt (siehe meine Beschreibung mit neu aufgesetztem Win) ist mir halt nicht klar. Wie kann man sich schützen es können ja jetzt nicht alle ihr xp neu installieren und gibt es außer sophos kein Virenscanner der diesen wurm erkennt und beseitigt?

Danke für eure schnelle Antworten

Du hast die Links schon durchgelesen, oder?!

Zitat:

W32/Sdbot-SS ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten.

Quelle: Sophos

Im Prinzip verwendet dieser die gleichen Verbreitungswege wie W32.Rbot.gen -> http://www3.ca.com/securityadvisor/v....aspx?id=39437

ja hab ich soweit durch. Aber wenn alles abgeschalten ist (was mit remote zu tun hat) und wenn jeglicher Versuch von defragfatx (und alle andere außer firefox) eine "Serverfunktion" zur Verfügung zu stellen von Zonealarm geblockt und verboten wird kann ja so erst einmal nichts geschehen - oder. Dann noch die Frage warum wird der PC immer wieder heruntergefahren? (Stürtzt nicht ab sonder es kommt eine Meldung ... wird heruntergefahren .. speichern sie ...)
Und wie er übertragen wird ist mir immer noch nicht klar.

Es waren auf dem ersten System zwar die Ports für Overnet freigegeben (4662 und 6887 - diese sind aber auf meinem Rechner auch immer offen und ich hatte noch nie einen solchen Wurm/Virus/Trojaner) aber in deinem Link habe ich nur folgendes gelesen:

Rbot can infect remote machines through Windows file sharing. It scans for target machines by probing TCP ports 139 and 445. If it can connect to either of these ports, it then tries to connect to the Windows share:

Diese Ports sind aber zu! Es gibt außer DFÜ kein Netzwerk auf dem Rechner und somit ist auch keine Datei oder Partition freigegeben. Das einzige war auf dem alten XP der Incomming von Overnet.

Kann man den mit Sophos nun restlos entfernen?

Gruß

Zitat Sophos: W32/Sdbot-SS ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.

Zitat:

Kann man den mit Sophos nun restlos entfernen?

Das ist für Dich eine Gewissensfrage. Du kannst sicher unter der Anleitung von Sophos den Wurm und seine Einträge beseitigen. Aber wer kann Dir dann sagen ob schon andere Dateien von aussen verändert wurden? Du warst ja sicher danach im Netz.

Zitat:

Und wie er übertragen wird ist mir immer noch nicht klar.

Vielleicht hast Du ja eine gebrannte Cd von jemanden anderes verwendet und da ist er mit drauf?
Also nochmal setze Dein System neu auf, arbeite nach dem Link von Chaosman, das ist auf alle Fälle der sicherste Weg


Gruß Gigamail