backdoor - wie schlimm isses hier?
 

Guten Abend,

ich musste Win2000 neu installieren, und noch während ich beim ersten Online-Spaziergang spybot, eScan und Konsorten updaten wollte, hatte ich mir schon den Ärger eingefangen (ServicePack4 is drauf):

eScan findet:

- "backdoor.win32.sdbot.xd" in einer netconf32.exe
- "trojan-proxy.win32.ranky.cq" in einer sxeA45.tmp

- und natürlich: Alexa, soll aber hier das kleinere Problem sein

Habe mich schon, soweit möglich, über die Gesellen informiert. der trojan-proxy scheint in dieser Form recht neu zu sein?? Kann ich die Temp-Datei einfach löschen?

Was den Backdoor virus angeht, droht mir da wirklich eine Neuaufsetzung vom ganzen System??

Achso, ich denk mal Ursprung der ganzen Misere war der legendäre Statuscode 128 mit System-Neustart....:(

Vielen Dank für Eure Hilfe.... und bis morgen :headbang:

@scambinho
Hast du deine alten Daten zurückgespielt? Sind sie sauber? Wo hast do schon eine tmp- Datei her, wenn Win gerade neu installiert wurde? Oder hast du dei Festplatte nicht formatiert?

Ja genau, hatte meine Daten auf ner anderen Partition und hinterher wieder zurückgespielt...

Also ist hier ein Neuaufsetzen angebracht?
Und kann ich dann "normale" Daten, also nur Word, Excel, PDF etc. auch von der betroffenen Partition retten. Oder ist alles als potentiell infiziert azusehen?

Grüße,
sc.b.

@scambinho
.. ohne die vorher auf Viren zu prüfen;).
Es ist bei einem Backdoor-Fund immer empfehlenswert.
Alle selbstgeschriebenen Dokumente kannst du auf einer anderen Partition oder CD abspeichern. Vor der Wiederherstellung müssen sie auf Viren geprüft werden.
BTW: Hast du die betroffene Festplatte neu formatiert oder nur Windows neu installiert?

Ich hab nur Windows neu installiert ohne vorheriges Formatieren.

Meinst Du, ich hatte die Viren schon vorher drauf...? Zumindest hatten escan, AntiVir und Spybot nie Funde angezeigt. Erst nach Re-Installation hatte ich wie erwähnt bei der ersten Online-Verbindung Probleme.:confused:

Grüße,
sc.b.

AFAIk sind dringend benötigte Patches nicht in SP4 enthalten. Ich kenn mich mit Win2k aber nicht so sehr gut aus.

Besorg dir auf winboard.org das entsprechende Update-Pack und setz das Betriebssystem komplett neu auf. Eine Online-Verbindung erst dann starten, wenn alle Updates installiert sind.

Siehe Anleitung in meiner Sig.

Gruß :daumenhoc
Yopie

Und täglich grüßt das Murmeltier...

Hallo, habe wie hier besprochen mein System neu aufgesetzt, Windows Updates gezogen, Dienste eingeschränkt, IE-Sicherheit erhöht etc.

HAbe sogar quasi Teilerfolge erzielt: McAfee hat
- W32/sdbot.worm.gen.by auf frischer Tat ertappt. Daraufhin habe ich auf Empfehlung von McAfee eine Datei ".exe" gelöscht.

Gleich danach hat
- W32/sdbot.worm!ftp in einer Datei "o" zugeschlagen. Da war das Löschen leider nicht mehr möglich.

Zuletzt kam der Ärger aber doch vollends zurück. Ein Pop-up hat einfach im Namen des angeblichen "NT-Autoritätssystems" meinen Rechner runtergefahren.
Es handelt sich angeblich um die Datei "services.exe" und es wird immer ein "Statuscode 128" angegeben...???

Beim letzten Mal hatte ich anschließend die Backdoor-Trojaner auf dem System, daher hab ich mich diesmal schweren Herzens für hartes Ausschalten entschieden, ehe es zum Ablauf der 59 sek. kam.
Anschließend haben weder Spybot, noch MWAV (eScan), noch McAfee irgendetwas gefunden...nichtmal den Virus in der Datei "o", die ich ja angeblich nicht löschen konnte.
eScan findet lediglich Alexa Spyware (wobei ich gelesen hab, dass das wohl unerheblich ist), mehrere Fehlverweise in der Registry und folgendes:
File C:\WINNT\system32\pro\pro.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.

Kurzum, ich traue der ganzen Sache trotzdem noch nicht.
Habt ihr eine Idee, wie ich diese Sache mit dem Statuscode 128 nebst Herunterfahren verhindern kann.
Eigentlich bin ich doch auf dem neuesten Stand was die Windows Updates bzw. Patches angeht....

Besten Dank für jegliche Hilfe/Hinweise...

Grüße
sc.b.

Prima. Du warst im Netz, als der Rechner noch nicht auf aktuellen Stand war. Besorg dir vorher das Update-Pack von winboard.org, brenn es auf CD, installier Windows neu, installier das Update Pack, führe die anderen Sicherheitsmassnahmen aus, geh ins Netz.

Gruß :daumenhoc
Yopie

hallo,

bei allem tippgegebe hier, vergesst ihr folgenden befehl, der dem
autor helfen sollte:

Der ist unter start / ausführen einzugeben, verhindert das runterfahren.
Weiterhin würde ich drauf tippen, dass das netconfig problem eher neuerer
natur ist, da auch per google nicht viel dazu zu finden ist. Ich schlage mich
übrigens höchstselbst mit denselben würmern rum..(bis auf das herunterfahren, das ist eine version des blaster worms).

Alles trat bei mir erst auf, als ich statt mit dem smartsurfer mit oleco
gesurft bin (wegen der gebühren) und beim oleco lässt sich keine
firewall aktivieren, bzw konfigurieren.
Dadurch hatte ich fast das ganze arsenal auf dem pc. Bis jetzt bin ich
noch mit jedem virus fertig geworden, allerdings frage ich mich hier erst-
haft, wie das zu beseitigen ist.

Ich hab mich heute dafür entschieden, wiedereinmal zonealarm an
den start zu schicken, gepaart mit stinger, zum schnellscan und antivir,
das normal im hintergrund läuft.

Ich bin jetzt auch allem herr geworden, außer der netconfig32.exe, ich
werde mir mal einen neuen process debugger holen, um herauszufinden,
wer diese exe erstellt und verarbeitet.

Hoffe, ich konnte erstmal helfen, ich melde mich, wenns was neues
gibt.

kleiner einwurf: über die netconf habe ich jetzt keine zweifel mehr,
diesen text habe ich aus der exe :

Windows for Workgroups 3.1a
Windows 200 5.0
Windows 200 5.0
Go fuck yourself s.

man betrachte die letzte zeile...

Nochwas: http://www.neuber.com/taskmanager/deutsch/download.html

den mal runterladen und schauen, ob da auch ne msupdate.exe ist..

@golem
:daumenhoc! Leider ist nur, dass dieser Befehl nur unter WinXP ausführbar ist.

hmpf, man fühlt sich in seinem xp schon so heimisch, da
vergisst man sowas glatt...
Aber irgendwo im netz müsste es auch tools dazu geben, die das
verhindern. Eigendlich reicht der download von stinger:

http://www.zdnet.de/downloads/prg/q/z/de0DQZ-wc.html

der sollte das entsprechende finden.

Guten Abend, melde mich auch mal wieder.

Habe inzwischen nochmal alles neu installiert und diesmal auch das empfohlene Update Pack von winboard.org (Danke Yopie) berücksichtigt.
Das Problem mit dem automatischen Runterfahren hab ich auch zum Glück nicht mehr...

Allerdings hat McAfee trotz alledem wieder was gefunden:

c:\winnt\ntservices.exe ist infiziert mit W32/sdbot.worm.gen

Den sollte ich laut McAfee löschen, was aber irgendwie wegen der Zugriffsrechten nicht möglich war.
Anschließend war die Datei ntservices.exe allerdings nicht mehr auffindbar.
Ein erneutes Scannen mit eScan und nochmal mit McAfee hat den Virus nicht mehr finden können...

Kann ich den Rechner somit als sauber ansehen, oder hat sich obiger Virus nur besser versteckt??

Beste Grüße,
sc.b.

@scambinho
Hast du alles so gemacht, wie Yopie gepostet hat?
Kannst du deine Frage selbst beantworten?

@Rene-gad

Ich kann die durchaus ernst gemeinte Frage nicht selbst beantworten. Den Virenfund von McAfee erhalte ich nämlich nicht mehr und die vermeintlich infizierte Datei ist auch nicht mehr auffindbar... (obwohl ich sie angeblich nicht löschen konnte)

Betreffs die vorherige Frage: ich habe natürlich erst alle Patches etc. installiert und bin dann online gegangen. Scheinbar existiert doch noch eine Sicherheitslücke.
Werde mich wohl mal um eine Firewall bemühen. So nebenbei, gibts da irgendwelche Vorschläge?

Noch nen schönen Nachmittag!
sc.b.

Die von WindowsXP SP2 reicht völlig aus. Allerding mach ich mir ein wenig Sorgen ob des erneuten Virenfundes...

Gruß :daumenhoc
Yopie

Yopie, hältst du WinXP für besser im Vergleich zu Win2000? Sollte ich mir also mal XP besorgen? (Nicht nur im Hinblick auf die Firewall...)

Der neue Virus irritiert mich auch ein wenig. Insbesondere, dass er eben schon wieder weg ist - oder aber nur nicht mehr erkannt wird. Laut Sophos gibt es eine ganze Reihe Schädlinge die W32/sdbot.worm.gen heissen. Die sehen überwiegend ungefährlich aus, aber das lässt mich auch nicht wirklich ruhiger schlafen.
Bin für alle weitergehenden Hinweise dankbar.

Schönen Abend :party:
sc.b.

Sorry, hatte nicht beachtet, dass du Win2k nutzt. Das reicht. Die Firewall ist nicht wirklich notwendig. Solange Win2k von MS noch mit Patches versorgt wird, kannst du es guten Gewissens einsetzen.
WinXP ist halt neuer und bunter... :balla:

Übrigens: Warum ein Betriebssystem kaufen, wenn es kostenlose Alternativen gibt? ;)

Ne, die sind wirklich alle gefährlich, weil die imho alle Backdoor-Funktionalität haben.
Hattest du formatiert? Auf einem sauberen, abgesicherten System kann sich von außen kein SDBot einschleichen! Also entweder hast du was flsahc (wirklich alle SPs und Hotfixes offline installiert?) gemacht, oder es war ein Fehlalarm. Oder du hast eine infizierte Datei ausgeführt.
An deiner Stelle würde ich es noch einmal probieren. Am besten den Rechner beim Installieren physisch vom Netz (nicht vom Stromnetz ;) ) trennen.

Gruß :daumenhoc
Yopie

Ja, hab ich gemacht.

Hab alles über dritte Rechner runtergeladen und dann offline installiert.

Hm, existiert im Normalfall denn eine Datei "ntservices.exe" im System32-Ordner? Google findet beachtlich wenige Einträge vorwiegend aus dem asiatischen Bereich. Ich hab diese Datei bei mir jedenfalls nie auf dem Rechner gesehen. Vielleicht wirklich Fehlalarm??

Das kann ich mir ehrlich gesagt nicht vorstellen, nein.


Bleibt vermutlich doch nur noch ein Versuch, bei dem ich dann von Anfang an auf Mozilla setze... Oder gibt es noch eine Möglichkeit, herauszufinden, ob der Rechner sauber ist oder nicht?
... Blöde Computer machen nur Arbeit...:mad:

Grüße
sc.b.