Hallo Leute,

ich hoffe, jemand von euch kann mir helfen. Und zwar habe ich den Trojaner Backdoor.Sdbot in meiner system32.exe! Zumindest zeigt mir dies NortonAV 2003 an. Da Norton diesen Trojaner nicht löschen kann, bin ich den Anweisungen auf der Norton-Seite diesbezüglich nachgegangen. Leider konnte mir nichts weiterhelfen. Sprich: Norton funktioniert nicht, Anti-Trojan 5.5 funktioniert nicht, Swat it funktioniert nicht, hab mir noch ein Tool runtergeladen (fragt bitte nicht, wie es heisst, habs schon wieder gelöscht!!!), hat auch nicht funktioniert. Tja, und wie gesagt, die Alternative Lösung von Norton, von Wegen im gesicherten Modus mit Norton oder bestimmte Registrys entfernen, geht alles nicht.... bin also echt am Ar....!!!

Also, falls einer von euch weiter weiss, vielen, vielen Dank !!!!


Grüsse,

Streicher aka Aragorn aka Dúnadan

Hallo Streicher,

gib uns doch bitte noch ein paar mehr Informationen.

Welches Betriebssystem?

Hast Du schon mit einem 2. Scanner geprüft, ob dieser das gleiche meldet (z. B. Kaspersky Remote Scan von hier)?

Wieso kannst Du die Datei im abgesicherten Modus nicht löschen? Und wieso kannst Du den Registry-Aufruf nicht entfernen?

SDBot ist nicht IN der system32.exe, SDBot IST system32.exe.
Diese läuft als Prozess im Hintergrund und muss erst beendet werden (STRG+ALT+ENTF), damit die Datei gelöscht werden kann. Du hast dir das Teil vermutlich per Filesharing heruntergeladen und installiert. Demzufolge dürfte es noch etliche Kopien davon auf deinem Rechner geben. Ein gründlicher Virenscan mit einem besseren Virenscanner als Norton ist anzuraten.

P.S.: noch ein paar Links zum Thema...

http://securityresponse.symantec.com...oor.sdbot.html
http://www.sophos.com/virusinfo/anal...jsdbotfam.html
http://www.f-secure.com/v-descs/sdbot.shtml

(leider nicht sehr aussagekräftig)

Möglicherweise handelt es sich auch um kwbot (wegen der system32.exe). Such mal ein bisschen mit Google oder in Virendatenbanken...

Erstmal vorweg, vielen Dank für die Antworten!!!
Also, Betriebssystem Windows XP PE und Kaspersky habe ich mir grade bei Download.com als Probeversion runtergezogen.(Müsste seinen Zweck aber trotzdem erfüllen...)

zu Iron: hast recht, der Rechner ist einem Kumpel, letzte Woche abgeschmiert. Hab die Festplatte komplett formatieren müssen und dann das BS neu aufgespielt. Und was macht der Witzbold von meinem Kumpel??? Lädt sich direkt Kazaa Lite drauf. Ich hab ihm noch gesagt, das Kazaa absolut Virenverseucht ist und das Ende vom Lied war, das ich 85 neue Viren auf dem Rechner hatte. Konnte auch alle bis auf den erwähnten Backdoor.Sdbot entfernen.
Bezüglich der system32.exe - Geschichte:

ihr hattet recht, hab ihn im Taskmanager gefunden, den Prozess beendet, die Datei gelöscht und neu gestartet. Jetzt kommt die Windowsfehlermeldung, das diese Datei fehlt. Ein anderer Kumpel hat mir geraten, jetzt mehrmals neu zu starten. Kommt die Meldung jetzt immer, dann ist wohl noch ein Eintrag aus der Registry zu entfernen, kommt die Meldung aber nicht mehr, so sind wohl mehrere Dateien befallen und die System32.exe kommt wohl wieder...!!!??

Die Meldung kommt, weil noch in der Registry in einem der RUN-Schlüssel der Aufruf der Datei steht. Den muss man manuell entfernen. Provisorisch reicht es natürlich auch erstmal, via START-> Ausführen-> MSCONFIG (ENTER), Register Auto-bzw. Systemstart den Haken vor dem noch existenten Aufruf der Datei zu entfernen.

KaZaA AN SICH, also das Programm selbst, ist nicht das Problem. Wenn man vor dem Saugen darauf achtet, dass die Datei nicht verdächtig klein ist und außerdem einen vernünftigen Virenscanner hat, dann passiert nicht allzu viel.