| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.10.2004, 22:05
| #1 |
| |  Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a. Hallo Forum, hatte mir vor längerem zwei Trojaner eingefangen, von denen ich einen (MSlti32.exe) auch losgeworden bin. Der andere, Backdoor.SdBot.je, ist es dagegen nicht: Die passende Virenbeschreibung habe ich mir bei Sophos angesehen und die Registry geputzt, nach Neustart fand sich dann kein syswu32.exe, welches laut Kaspersky Online-Scan der Virus ist, im Taskmanager mehr. Für den Online Scan musste ich den Dateinamen direkt eintragen, im Windows Explorer wird sie, trotz der deaktivierten Option "Versteckte Ordner und Dateien anzeigen", nicht angezeigt. So kann ich die auch nicht löschen, nicht mal unter DOS. Wäre ja auch nicht schlimm, wenn nicht, bei Anmeldung eines anderen Benutzers dieses Computers, dieses Ding wieder im Hintergrund als Dienst liefe, mitsamt allen Registry-Einträgen wiederhergestellt. Es scheint ein anderes Programm infiziert zu sein, das nur bei diesem Benutzer gestartet wird und selbst Sdbot-je wiederbelebt. Läßt sich irgendwie überprüfen, wann was nach der Anmeldung aufgerufen wird? Dieser Account ist der einzig passwortgeschützte, deshalb könnte ich mich derzeit dort nicht anmelden, wäre an sich aber möglich. eScan meldet den Virus, entfernt ihn aber nicht, sondern will Geld. Antivir findet trotz Updates nichts. Desweiteren meldet meine Firewall (Sygate Personal) alle paar Tage mal, daß lsass.exe von einer "Remote Machine" kontaktiert würde, was ich dann freilich unterbinde. Windows Update funktioniert nicht, zur danach gelieferten Fehlernummer sind keine Informationen verfügbar. Hatte vor ein paar Wochen, für circa eine Stunde, die Firewall und so ziemlich alle Sicherungen außer dem Antiviren-Programm aus bestimmten Gründen deaktiviert und den Computer verlassen, direkt danach war die Kiste langsam und mir schwante schon Schlechtes. Jetzt denke ich auch schon darüber nach, alles neu zu installieren, denn so richtig vertraue ich diesem Kasten nicht mehr. Sollte ich's tun? Hier noch: Logfile of HijackThis v1.97.7 Scan saved at 23:01:59, on 10.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2800.1106) Running processes: C:\WINDOW\System32\smss.exe C:\WINDOW\system32\winlogon.exe C:\WINDOW\system32\services.exe C:\WINDOW\system32\lsass.exe C:\WINDOW\system32\svchost.exe C:\WINDOW\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOW\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\mysql\bin\mysqld-max-nt.exe C:\WINDOW\System32\svchost.exe C:\WINDOW\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOW\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOW\System32\ctfmon.exe C:\Programme\BHODemon 2.0\BHODemon.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\Winamp\winamp.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Dominique\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOW\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Xerox WorkCentre 470cx Monitor] RUNDLL32.EXE C:\WINDOW\System32\X470SHLL.DLL,AutoUpdatePnPValue O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOW\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOW\System32\ctfmon.exe O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2.0\BHODemon.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O15 - Trusted Zone: *.bjork.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095874244018 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...209.1921527778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2CB9555B-8A33-41A2-B24E-15F539F3506F}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{2CB9555B-8A33-41A2-B24E-15F539F3506F}: NameServer = 217.237.149.161 217.237.151.225 Danke schomal |
|
10.10.2004, 23:02
| #2 | |
| Administrator, a.D.   | Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a. Hallo,
__________________Zitat:
http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Dein Problem ist, dass du ein falsches Sicherheitsdenken hast. Du setzt auf Sicherheitssoftware jeglicher Art, versorgst aber dein System und die verwendete Software nicht mit Updates und Patches. Gerade diese Patches sind die Grundlage für ein sicheres System. Diese Seiten solltest du mal in einer ruhigen Minute lesen und danach handeln: Kompromittierung unvermeidbar? Wie kann ich denn nun mein System vernünftig absichern? Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surf- und Downloadverhalten überdenken
__________________ |
|
| Themen zu Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a. |
| .exe, adobe, antiviren-programm, desktop, drivers, einstellungen, excel, fehler, hijack, hijackthis, internet, internet explorer, kaspersky, kis, langsam, monitor, nicht entfernbar, object, programm, registry, rundll, shockwave, sun java, system, taskmanager, tcpip, trojaner, trojaner eingefangen, träge, unter, updates, usb, versteckte ordner, virus, windows, windows xp, zwei trojaner |
Linear-Darstellung
