Hi,
habe seit gestern 2 Prozesse im Taskmanager laufen die normal Windowsfunktionen sind (wuauclt.exe und wmiprvse.exe) aber ich denke das ist eher Backdoor Trojaner der auch meine connection auslastet ...
Escan und Kaspersky Antivir finden auch einen Befall aber nicht in diesen Dateien sondern woanders!

Meldung: detected: trojan program Backdoor.Win32.SdBot.xd
File: C:\WINDOWS\smss.exe/PE_Patch/MewBundle/MEW

Also über den ie kam er nicht,surfe nur mit opera und sygate firewall ist auch immer am laufen im hintergrund.

Wäre dankbar wenn einer mal mein Hjackthislog unter die Lupe nehmen würde..

Logfile of HijackThis v1.99.1
Scan saved at 17:41:57, on 28.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\smss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\Programme\Kaspersky Lab\AVP6\avp.exe
C:\Dokumente und Einstellungen\SZENE-NEHMER\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\AVP6\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{60BD1258-77AB-4121-9CCC-BF16B18819BD}: NameServer = 195.50.140.252 145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{60BD1258-77AB-4121-9CCC-BF16B18819BD}: NameServer = 195.50.140.252 145.253.2.75
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\AVP6\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP - Kaspersky Lab - C:\Programme\Kaspersky Lab\AVP6\avp.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe


ThX!

Hallo,

dein System ist aufgrund des aktiven Backdoor.Win32.SdBot.xd nicht mehr vertrauenswürdig und sollte ASAP neu aufgesetzt werden. Eine Anleitung findest du in meiner Signatur.

Info zur o.g. Malware:

Zitat:

• Schaltet Antiviren-Anwendungen aus
• Ermöglicht Dritten den Zugriff auf den Computer
• Legt Malware ab
• Reduziert die Systemsicherheit
• Installiert sich in der Registrierung

Quelle: http://www.sophos.de/virusinfo/analyses/w32sdbotxa.html

FFS,
mit dieser Antwort habe ich schon irgendwie gerechnet, würd nur mal gern wissen wo und wie man sich diesen MIST einfängt obwohl ne firewall und virenscanner am laufen sind..
Das einzigste was ich gestern gemacht habe war mal kurz autowin update aktivieren um zu gucken obs neue patches gibt aber daran liegt das doch net!

Zitat:

Zitat von «Æ»o$maNN

FFS,
mit dieser Antwort habe ich schon irgendwie gerechnet, würd nur mal gern wissen wo und wie man sich diesen MIST einfängt obwohl ne firewall und virenscanner am laufen sind..
Das einzigste was ich gestern gemacht habe war mal kurz autowin update aktivieren um zu gucken obs neue patches gibt aber daran liegt das doch net!

Ein möglicher Grund könnte hier liegen:

Logfile of HijackThis v1.99.1
Scan saved at 17:41:57, on 28.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Und mit seinem Surfverhalten kann man auch viel bewirken.