Hallo!

Der laptop meiner freundin war bis jetzt ungepatched, allerdings auch so gut wie nie im internet oder sonstwelchen netzwerken. Jetzt hab ich ihn erstmal gepatched, eine firewall und Antivir installiert. Leider nervt das blöde ding nun in regelmäßigen abständen mit der AV-Meldung, dass der WORM/sdbot.41452 in der Datei c:\WINDOWS\SYSTEM32\lrsys.exe gefunden wurde.

Hier mal das zugehörige HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 15:26:51, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\laptop\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD28A813-6AF1-41EC-AEED-D5A214B9EE7E}: NameServer = 213.191.74.19 213.191.92.87
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Zeitreihen\MATLAB\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


sowie das ergebnis von virustotal:

Antivirus Version Update Result
AntiVir 7.2.0.32 10.26.2006 Worm/Sdbot.41452
Authentium 4.93.8 10.26.2006 no virus found
Avast 4.7.892.0 10.26.2006 no virus found
AVG 386 10.26.2006 IRC/BackDoor.SdBot2.KIK
BitDefender 7.2 10.26.2006 Backdoor.SdBot.AAD
CAT-QuickHeal 8.00 10.26.2006 Backdoor.Sdbot.gen
ClamAV devel-20060426 10.26.2006 Trojan.SdBot-2840
DrWeb 4.33 10.26.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.73.37 10.26.2006 no virus found
eTrust-Vet 30.3.3158 10.26.2006 no virus found
Ewido 4.0 10.26.2006 Backdoor.SdBot.ayj
Fortinet 2.82.0.0 10.26.2006 W32/SDBot.AAD!tr.bdr
F-Prot 3.16f 10.26.2006 no virus found
F-Prot4 4.2.1.29 10.26.2006 no virus found
Ikarus 0.2.65.0 10.26.2006 Backdoor.Win32.SdBot.aad
Kaspersky 4.0.2.24 10.26.2006 Backdoor.Win32.SdBot.aad
McAfee 4881 10.25.2006 W32/Sdbot.worm.gen.z
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1836 10.26.2006 IRC/SdBot
Norman 5.80.02 10.26.2006 W32/Malware.BQB
Panda 9.0.0.4 10.26.2006 W32/Sdbot.IMW.worm
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 no virus found
UNA 1.83 10.25.2006 Backdoor.SdBot.84E5
VBA32 3.11.1 10.25.2006 Backdoor.Win32.SdBot.aad
VirusBuster 4.3.15:9 10.26.2006 Worm.Rbot.IEY

Aditional Information
File size: 41452 bytes
MD5: 838ddedc50c2741077828c90315a6f4d
SHA1: bdc11614eab134a338d25f07765408fed7832785
packers: Expr


Und jetzt sagt mir bitte bitte, dass ich ums neu installieren drum rum komm!!


Gruß und schonmal vielen Dank

Erdb33r

Hi, werte c:\WINDOWS\SYSTEM32\lrsys.exe mal bei virustotal.com aus und poste das vollständige log incl. Dateigröße. Solltest du die Datei nicht finden, stelle die Ansicht bei XP so ein, dass dir alle versteckten Dateien und Systemdateien angezeugt werden. Gruß

hihi ich habs gerochen! (siehe edit im ersten post.)

Zitat:

Zitat von ErDb33rjOgHuRt

Und jetzt sagt mir bitte bitte, dass ich ums neu installieren drum rum komm!!

Klar. Spiel einfach das letzte garantiert saubere Image auf.

Wenn du sowas nicht hast: "Backdoor entfernen" in meiner Signatur befolgen.

Gruß
Yopie