Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Log-Analyse und Auswertung: WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 23.12.2008, 19:00   #1
Scott89
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Hallo, mein AntiVir hat folgenden Wurm gefunden:
'WORM/SdBot.634880.12' [worm]. Zwar wird angezeigt, dass dieser erfolgreich gelöscht wurde, jedoch taucht wieder auf.
Leider weiß ich nicht ob, und in wiefern dieser schädlich ist. Ich hab gegoogelt und gesehen, dass HijackThis euch dabei helfen kann :-(

Einen Dank im Vorraus:
Scott

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:08, on 23.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~3\Office\WINWORD.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "G:\Counter Strike\Steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.eureka-gmbh.de
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/30.66/uploader2.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://0scott93.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://engine.netanday.it/ajax_webcam/codec/AMC.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O24 - Desktop Component 0: (no name) - http://www.prosieben.de/imperia/md/images/images/03_show_comedy/kalkofe/kalkofe_headgrafik.jpg

--
End of file - 14648 bytes

Alt 23.12.2008, 20:37   #2
JoeAlz
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Löschen hilft hier nichts. Der Wurm kommuniziert per IRC Channel und kann Dritten den Zugriff auf dein System ermöglichen.

Folgende Dateien zeigen an, wenn dass System infiziert ist:

Backdoor.Sdbot ? Symantec.com

Überprüfe diese z.B. bei:

VirusTotal - Kostenloser online Viren- und Malwarescanner

Bei tatsächlicher Verseuchung:

1. Rechner vom Internet trennen
2. System neu aufsetzen
__________________
Alt 25.12.2008, 18:32   #3
KarlKarl
/// Helfer-Team
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Hi,

die Beiträge von Symantec enthalten nicht alle Namen, die möglich sind. Schon alleine nicht, weil es tausende Varianten von Sdbot gibt, die die alle in einen einzigen Artikel verwurstet haben. Der anscheinend auch sehr veraltet ist, den Verzeichnisnamen nach scheint er aus der Zeit zu stammen als Windows NT und 2000 dabei waren Windows 98 abzulösen.

Wenn Du hier einen Rat erhalten möchtest, dann musst Du außer deinem HijackThis noch mindestens mitteilen, wo genau Antivir das meldet. Ansonsten liegst Du mit formatieren und Neuaufsetzen garantiert auf der sicheren Seite.

Gruß, Karl
__________________
Alt 25.12.2008, 19:15   #4
JoeAlz
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Ich gebe Karl recht, habe mich da in meinem Link vergriffen, der leider veraltet ist. Wie schon richtig festgestellt, gebe den Fundort als Pfad für weitere Hilfe an.

mir ist noch etwas aufgefallen:

Code:
ATTFilter
C:\Programme\DNA\btdna.exe
muss man nicht haben und sollte man deinstallieren: http://www.pcbeirat.de/verschiedenes...s-oder-spyware


Gruß Björn
Geändert von JoeAlz (25.12.2008 um 19:44 Uhr)

Alt 25.12.2008, 21:08   #5
Scott89
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Vielen Dank schonmal für die Antworten, trotz der Feiertage.
An JoeAlz: Habe DNA deinstalliert und mit VirusTotal schon einige Dateien überprüft (keinen Fund). An Karl habe ich folgende Frage: Ich bin kein Englisch-Noob ... bloß wie kann ich meinem HijackThis mitteilen, welches Verzeichnis AntiVir angezeigt hat? Das einzige, was ich gesehen habe, ist mein LogFile an TrendMicro selbst zu senden, um es überprüfen zulassen.
Zusätzlich zu euren Tipps habe ich ZoneAlarm installiert..
AntiVir hat bisher nicht erneut angeschlagen, wegen eines Wurmes. Ein trügerischer Friede?
Großen Dank
Scott

Geändert von Scott89 (25.12.2008 um 21:15 Uhr)

Alt 25.12.2008, 22:24   #6
JoeAlz
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Zitat:
AntiVir hat bisher nicht erneut angeschlagen, wegen eines Wurmes. Ein trügerischer Friede?
Bei einem SdBot gilt auch besonders: SYSTEM NEU AUFSETZEN.

Zitat:
An Karl habe ich folgende Frage: Ich bin kein Englisch-Noob ... bloß wie kann ich meinem HijackThis mitteilen, welches Verzeichnis AntiVir angezeigt hat?
Du solltest uns eigentlich nur den Fundpfad aus dem AntiVir Scan-Report mitteilen.

aber bitte scanne noch mit:

Online Malware scan

Malwarebytes Anti-Malware - Download WICHTIG: UPDATE durchführen lassen

Lies dir entsprechend die Anleitungen durch. Schalte deine Hintergundwächter aus und poste hier die Ergebnisse.

Alt 25.12.2008, 22:40   #7
Scott89
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


In der Datei 'C:\System Volume Information\_restore{02600DC3-AACC-4745-88D2-063AD93FC466}\RP581\A0311912.exe'
wurde ein Virus oder unerwünschtes Programm 'WORM/SdBot.634880.12' [worm] gefunden.
Ausgeführte Aktion: Datei löschen

Dies hatte AntiVir mitgeteilt. Da stand ich eben ziemlich aufm Schlau. Malware-Scan läuft und poste das Ergebnis ein, sobald es verfügbar ist.

Alt 26.12.2008, 22:32   #8
Scott89
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Der Malware-Scan selbst hatte nichts gefunden. Nach einem erneutem Fund durch AntiVir habe ich mich dazu entschlossen, das System neu aufzusetzen und danach alle Passwörter zu ändern. Damit ist die Gefahr endgültig gebannt, glaube ich.
Trotzdem vielen Dank für die Zeit/Geduld die ihr investiert habt.
Alles Gute
Scott

Alt 26.12.2008, 23:49   #9
JoeAlz
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Hallo Scott,

ist hier sicherlich sehr vernünftig gewesen!!!

Viele Grüsse

Björn

Alt 10.01.2009, 19:26   #10
Jonock
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Hallo erstmal,
ich habe heute auch einmal einen Virenscann durchgeführt und dabei den gleichen Trojaner gefunden wie Scott89.
Ich werde jetzt auch euren Tip beherzigen und das System neu aufsetzen, nur hätte ich vorher noch 2 Fragen:

1) Ich habe meine Festplatte in die 3 Partitionen "C - Windows", "D - Programme", "E - Downloads" (& Musik, Bilder,...) aufgeteilt.
Der Virus ist wie bei Scott auf der Systempartition installierst.
Langt es dann, wenn ich nur C formatiere und Windows neu aufsetze?
Ich würde nämlich ungern wieder alle Programme installieren müssen und v.a. nicht meine Dateien auf E löschen.

2) Muss man wirklich seine Passwörter ändern?
Ich habe extra vor 3 Monaten angefangen für jeden Account den ich erstelle (Foren, Spieleaccounts, Messenger,...) individuelle Passwörter zu vergeben und notiere diese in einem kleinen Buch.
Ich müsste also sicher 50 Passwörter neu vergeben!!
Aber ich gebe zu, dass ich die Passwörter auch z.B. von Firefox, Messengern oderSpielen (Steam, BF2,...) speichern lasse um sie nicht immer eingeben zu müssen bzw. ich bleibe meistens dauerhaft in Accounts eingeloggt.

Würde mich freuen, wenn ihr mir die 2 Fragen beantworten könntet und ich hoffe, dass es ok ist, das ich hier poste.

Gruß Joni

Alt 11.01.2009, 17:57   #11
KarlKarl
/// Helfer-Team
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


C: ist fällig und die Programme wirst Du vermutlich neu installieren müssen, weil viele Programme nach der Neuinstallation des Systems nicht mehr funktionieren. Bei den Daten kannst Du Glück haben, allerdings steht das auch was von "Downloads", alles was ausführbar ist, ist ein Risiko.

Passwörter ändern ist angesagt. Das mit dem Buch ist ein guter Plan (solange das Buch sicher verwahrt ist). Da sind bestimmt noch ein paar Seiten frei, wo Du die neuen reinschreiben kannst. Die sollte man sogar ab und wann ändern, ohne dass ein konkretes Problem vorliegt.

Alt 11.01.2009, 20:02   #12
Jonock
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Wenn ich die Ordner "%UserProfile%\Startmenü\Programme", "%AllUsersProfile%\Startmenü\Programme" und "%UserProfile%\Anwendungsdaten" sichere und im neu installierten Windows wieder einsetze habe ich fast alle Programme wieder dort eingebunden und die meisten funktionieren auch.
Das ein oder andere muss ich halt neu installieren, aber das ist kein Vergleich zu dem Aufwand beim kompletten neu installieren.

Mich würde noch interessieren, wie ich mir den Trojaner den eingefangen haben kann?
Ich habe mal nach ihm gegoogelt und habe hier bei Norton gefunden, dass er es ermöglicht über IRC (m)einen PC zu steuern, habe ich ihn also auch aus dem IRC?
(dort bin ich aber nur ganz selten mal)

Gruß Joni

Alt 11.01.2009, 20:14   #13
KarlKarl
/// Helfer-Team
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Das ist immer Glückssache. Es gibt Programme, die laufen danach, andere aber sind darauf angewiesen, richtig in Windows installiert zu werden. Das dumme dabei ist auch, dass es passieren kann, dass etwas zu laufen scheint und irgendwann später bemerkt man, dass irgendwas nicht funktioniert und kann dann nicht entscheiden ob es an der Bequemlichkeit, nicht neu installieren zu wollen, liegt.

Außerdem steigerst Du mit dieser Ordnerzurückkopiererei auch die Wahrscheinlichkeit, eine Seuche ins neue System mitzunehmen. Solche Bequemlichkeiten werden ausgenutzt, ich habe schon Malware gesehen, die sich in die Anwendungsdaten setzt.

Sind einige mögliche Ursachen. Die wahrscheinlichste ist aber eine Datei, auf die Du einen Doppelklick gemacht hast. Diese Backdoorserver nehmen per IRC mit ihren Herren Kontakt auf, dass muss aber nicht heißen, dass Du ihn dort her hast.

Alt 13.01.2009, 19:30   #14
Jonock
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Mhh ich habe jetzt gestern und vorgestern nochmal jeweils einen Suchlauf mit Antivir gemacht und habe keinen Trojaner mehr gefunden.
Hatte eben beim ersten mal zu Antivir gesagt, dass er den Trojaner löschen soll.

Ist der dann wirklich weg und wäre damit zumindest das neuinstallieren hinfällig?
(PWs würde ich trotzdem ändern)

Gruß Joni

Alt 13.01.2009, 21:10   #15
KarlKarl
/// Helfer-Team
 
WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Standard

WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


Das kann man nicht so genau wissen. So ein Sdbot ist ein Backdoorserver, der den kompletten Zugriff auf das System ermöglicht, jemand anderes ist also Administrator des Systems. Damit kann dieser Mensch alles ändern, jede Einstellung, jede Datei. Clevere Botmaster bauen sich auch ein paar weitere Türen ein, damit sie auch weiterhin zugreifen können. Ich würde mein System mit Sicherheit neu aufsetzen, angefangen damit, die Platten neu zu partitionieren. Die Entscheidung liegt bei dir, Du solltest dir auch Gedanken machen, wie hoch dein Sicherheitsbedürfnis ist. Spielst Du nur Solitär auf dem Computer? Oder benutzt Du Passwörter, oder machst gar online Geschäft wie Ebay, Paypal, Onlinebanking, usw?

Antwort
Seite 1 von 2 1 2

Themen zu WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?
adobe, antivir, avira, bho, bonjour, canon, desktop, dll, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, nvidia, object, plug-in, popup, programme, rundll, software, sweetim, system, windows, windows xp, windows xp sp3, wurm, xp sp3, yahoo


« System Security Trojaner - der Nächste | PC spielt verrückt -.- »


Ähnliche Themen: WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?


  1. Worm/ sdBot 357521
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (2)
  2. WORM/SdBot.15863808
    Plagegeister aller Art und deren Bekämpfung - 11.12.2009 (1)
  3. WORM/SdBot.634880.12 - Was tun?
    Plagegeister aller Art und deren Bekämpfung - 26.12.2008 (0)
  4. WORM/SdBot.193024.1
    Plagegeister aller Art und deren Bekämpfung - 23.12.2008 (1)
  5. Hilfe- Worm/sdBot.507392.1
    Plagegeister aller Art und deren Bekämpfung - 03.02.2008 (3)
  6. WORM/SdBot.2327888
    Plagegeister aller Art und deren Bekämpfung - 20.11.2007 (2)
  7. WORM/Sdbot.41804.26
    Plagegeister aller Art und deren Bekämpfung - 26.03.2007 (4)
  8. W32/sdbot.worm.gen.x
    Plagegeister aller Art und deren Bekämpfung - 30.12.2006 (2)
  9. Worm /SdBot.8655
    Plagegeister aller Art und deren Bekämpfung - 08.10.2006 (16)
  10. Infektion mit WORM/Sdbot.44120
    Log-Analyse und Auswertung - 21.02.2006 (4)
  11. Hilfe Worm sdbot.ESE
    Plagegeister aller Art und deren Bekämpfung - 22.09.2005 (3)
  12. worm sdbot
    Log-Analyse und Auswertung - 30.08.2005 (2)
  13. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  14. W32/Sdbot.worm.bat.b
    Plagegeister aller Art und deren Bekämpfung - 22.04.2005 (8)
  15. Worm/SdBot.58880
    Plagegeister aller Art und deren Bekämpfung - 09.04.2005 (7)
  16. Worm/Rbot.AAk o.SDbot.99840
    Log-Analyse und Auswertung - 28.02.2005 (9)
  17. w32/sdbot.worm virus
    Plagegeister aller Art und deren Bekämpfung - 26.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? - Hallo, mein AntiVir hat folgenden Wurm gefunden: 'WORM/SdBot.634880.12' [worm]. Zwar wird angezeigt, dass dieser erfolgreich gelöscht wurde, jedoch taucht wieder auf. Leider weiß ich nicht ob, und in wiefern dieser - WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun?...
Archiv
Du betrachtest: WORM/SdBot.634880.12 gefunden. Was kann/soll ich tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55