Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe habe einen Trojaner Win32:SdBot-gen44 [Trj] und muss auf eine LAN WICHTIG!!! (https://www.trojaner-board.de/33086-hilfe-habe-trojaner-win32-sdbot-gen44-trj-lan-wichtig.html)

DonMoerte 23.10.2006 22:44
Hilfe habe einen Trojaner Win32:SdBot-gen44 [Trj] und muss auf eine LAN WICHTIG!!!
 
Hallo Leute
Bin neu hier und habe ein riesen problem. Da ich am 27.10 Auf eine LAN gehe und nicht alle anderen anstecken will.
Habe erst gestern den PC neu aufgesetzt und heute einen Virenscan mit meinem neuen Security Programm (G Data Internet Security 2007) gemacht, und wie es das Schicksal so will hat das Programm auch gleich einen Trojaner gefunden und zwar den "Win32:SdBot-gen44 [Trj]" :pfui:.
Das ganze sieht so aus:

Virenprüfung mit AntiVirenKit
Version 17.0.6254
Virensignaturen vom 23.10.2006
Startzeit: 23.10.2006 22:46
Engine(s): Engine A (AVK 17.381), Engine B (AVKB 17.22)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: LiveStrm.dat
Pfad: C:\Programme\G DATA InternetSecurity\Firewall
Status: Virus konnte nicht entfernt werden
Virus: Win32:SdBot-gen44 [Trj] (Engine B)
Analyse vollständig durchgeführt: 23.10.2006 23:02
25759 Dateien überprüft
1 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

cosinus 24.10.2006 00:11
Zitat:
Objekt: LiveStrm.dat
Pfad: C:\Programme\G DATA InternetSecurity\Firewall
Status: Virus konnte nicht entfernt werden
Virus: Win32:SdBot-gen44 [Trj] (Engine B)
Ähm, stimmt der Pfad? Der Schädling wurde in dem Verzeichnis der "Sicherheitsoftware" gefunden? :dummguck:
Poste mal ein Hijackthis-Logfile.

DonMoerte 24.10.2006 07:31
Ok Hier ist mal die Log File:

Logfile of HijackThis v1.99.1
Scan saved at 08:27:47, on 24.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\MrobeService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Manuel\LOKALE~1\Temp\7zO46.tmp\HijackThis.exe
C:\DOKUME~1\Manuel\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{142FAAAC-8049-49D3-945C-C93C024F4B61}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{142FAAAC-8049-49D3-945C-C93C024F4B61}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{142FAAAC-8049-49D3-945C-C93C024F4B61}: NameServer = 194.183.128.35,194.183.128.36
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MrobeService - OLYMPUS IMAGING CORP. - C:\WINDOWS\system32\MrobeService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Alanis 24.10.2006 09:25
Ich will ja nicht ätzen, aber wenn's eh erst grad neu aufgesetzt ist, meinst nicht es geht schneller wennst das System einfach nochmal kübelst und drüber aufsetzt? Ist unter'm Strich sicher sicherer und stabiler als nun 'nen Trojaner zu suchen und zu entfernen, weil bei sowas bleibt oft genug irgendwelcher Müll unerledigt.

cosinus 24.10.2006 10:13
Zitat:
C:\DOKUME~1\Manuel\LOKALE~1\Temp\7zO46.tmp\HijackT his.exe
Du solltest Hijackthis immer in einen eigenen Ordner entpacken und erst dann ausführen und nicht direkt aus der ZIP-Datei!
Ansonsten habe ich nicht den Eindruck, dass Dein System verseucht ist, ich vermute hier eher einen False-Postive.
Aber Du kannst ja spaßeshalber mal die Datei

C:\Programme\G DATA InternetSecurity\Firewall\LiveStrm.dat

bei Virustotal auswerten lassen. :D

DonMoerte 24.10.2006 10:45
Habe die Datei mal über Virustotal laufen lassen :rolleyes: und es wurde nichts gefunden :daumenhoc

Danke für Eure hilfe, dieses Forum ist echt weiter zu empfehlen da wird einem geholfen :aplaus:

cosinus 24.10.2006 11:09
Aber schon merkwürdig, dass der Virenscanner seine eigenen Bestandteile als Schädling einstuft :confused:

DonMoerte 24.10.2006 18:02
Kann es sein das es irendetwas mit der Heuristik meines Virenscanner zu tun hat, die habe ich immer eingeschalten :confused:

cosinus 24.10.2006 20:16
Zitat:
Zitat von DonMoerte
Kann es sein das es irendetwas mit der Heuristik meines Virenscanner zu tun hat, die habe ich immer eingeschalten :confused:
Die Heuristik bringt nicht wirklich viel, der Virenscanner fängt an zu raten - die Wahrscheinlichkeit eines solchen Fehlalarms ist ziemlich hoch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131