Infektion mit WORM/Sdbot.44120
 

Hab mir nen Virus gefangen. Laut Antivir in
C:\System Volume Information\_restore{CB3B453D-A0E8-40E5-8DE4-482494F10D74}\RP190\A0126097.exe

Der ist nach jedem booten wieder da ... Irgendwie scheint sich Antivir beim Scan auch aufzuhängen. Rührt sich nichts mehr nach 7,1%. Weiss jemand Rat?

Logfile of HijackThis v1.98.2
Scan saved at 06:50:48, on 18.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Pestpatrol\PPControl.exe
C:\Programme\Pestpatrol\PPMemCheck.exe
C:\Programme\Pestpatrol\CookiePatrol.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Ad-Aware SE\Ad-Watch.exe
C:\Programme\Tuneup Utilities 2006\MemOptimizer.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Hide IP Platinum\hideippla.exe
C:\Programme\Peerguardian 2\pg2.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.freenet.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.222.64.180:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\Pestpatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\Pestpatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\Pestpatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Ad-Aware SE\Ad-Watch.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\Tuneup Utilities 2006\MemOptimizer.exe" autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\Lex\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\system32\msjava.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Rekruter-Toolbar\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Rekruter-Toolbar\rekruter_2_43.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139333073796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139333042046
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE8E37EA-C5BC-41E3-90A5-67E63AF56288}: NameServer = 192.168.122.252,192.168.122.253

DU kannst dir auch selbst die Rechte geben um Manuell einzuschreiten ...
Die System Volume Information ist ein Teil der Systemwiederherstellung .. darin finden sich oft Jahrealte Dateien wieder ;)

Ist auch eine gute neue Erfahrung!

Ab in die Ordneroptionen, zweite Spalte -> Alles sichtbar machn.
Versteckte Ordner einblenden - Geschütztw Systemdateien sowieso - UND den Inhalt von Systemordnern anzeigen ... also die 3 Häkchen ;)

Dann siehst du im C: schonmal den Ordner "System Volume Information".
Rechtsklick darauf -> Sicherheit. Nun siehst du dass bislag nur das System zugreifen konnte. Nun gehst du auf "Hinzufügen" und im folgenden Fenster auf "Erweitert". Nun kannst du auf "jetzt suchen" klicken, damit Windows alle aktuellen Benutzer ermittelt. Wähle dein Konto aus und klicke auf OK. Dann nochmal OK. Nun solltest du auch unter dem "System" aufgelistet sein, gib dir unten im Raster "Sicherheit" noch den Vollzugriff (ändern lesen bearbeiten .......).

Achtung .. Viren verstecken sich auch gerne "persönlich" darin ... Also nicht nur die, die zufällig durch die Wiederherstellung reingeflutscht sind :daumenhoc

Achja ... Log sieht sauber aus ... Komische Browser/Tool - bars zwar aber sonst sauber ...

Hm - danke soweit, aber die beschriebenen Optionen gibt es SO nicht bei mir.

Ok - den Inhalt von C:\System Volume kann ich jetzt sehen.
Mache ich nun einen Rechtsklick erhalte ich - egal ob der nun auf Sicherheit oder Eigenschaften erfolgte - das gleiche Fenster. Das hat oben drei Reiter - Allgemein, Freigabe und Anpassen. Und auf dem ersten - also Apassen - einen Erweitert Button.
Optionen wie "hinzufügen", "jetzt suchen" oder eine um ein Konto auszuwählen gibt es dort aber überhaupt nicht.

Und nun?

(Im übrigen glaube ich nicht, dass der Sdbot.44120 schon sehr alt ist, denn über den hab ich nirgendwo Infos / Daten gefunden ...)

@rickyshand
überprüfe dein system bitte mit escan

C:\System Volume Information\_restore{CB3B453D-A0E8-40E5-8DE4-482494F10D74}\RP190\A0126097.exe
kann man löschen indem du die Systemwiederherstellung deaktivierst und anschließend neu bootest. Überprüfe trotzdem mit escan.

chaosman

Scheint jetzt clean zu sein. Danke.

WORM/Sdbot.44120 war übrigens ein brandneuer Wurm, wie ich jetzt ergoogeln konnte ...