Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a. (https://www.trojaner-board.de/8285-backdoor-sdbot-je-syswu32-exe-entfernbar-u-a.html)

blazenizer 10.10.2004 22:05
Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a.
 
Hallo Forum,
hatte mir vor längerem zwei Trojaner eingefangen, von denen ich einen (MSlti32.exe) auch losgeworden bin. Der andere, Backdoor.SdBot.je, ist es dagegen nicht:
Die passende Virenbeschreibung habe ich mir bei Sophos angesehen und die Registry geputzt, nach Neustart fand sich dann kein syswu32.exe, welches laut Kaspersky Online-Scan der Virus ist, im Taskmanager mehr. Für den Online Scan musste ich den Dateinamen direkt eintragen, im Windows Explorer wird sie, trotz der deaktivierten Option "Versteckte Ordner und Dateien anzeigen", nicht angezeigt. So kann ich die auch nicht löschen, nicht mal unter DOS.
Wäre ja auch nicht schlimm, wenn nicht, bei Anmeldung eines anderen Benutzers dieses Computers, dieses Ding wieder im Hintergrund als Dienst liefe, mitsamt allen Registry-Einträgen wiederhergestellt. Es scheint ein anderes Programm infiziert zu sein, das nur bei diesem Benutzer gestartet wird und selbst Sdbot-je wiederbelebt. Läßt sich irgendwie überprüfen, wann was nach der Anmeldung aufgerufen wird? Dieser Account ist der einzig passwortgeschützte, deshalb könnte ich mich derzeit dort nicht anmelden, wäre an sich aber möglich.
eScan meldet den Virus, entfernt ihn aber nicht, sondern will Geld.
Antivir findet trotz Updates nichts.
Desweiteren meldet meine Firewall (Sygate Personal) alle paar Tage mal, daß lsass.exe von einer "Remote Machine" kontaktiert würde, was ich dann freilich unterbinde.
Windows Update funktioniert nicht, zur danach gelieferten Fehlernummer sind keine Informationen verfügbar.
Hatte vor ein paar Wochen, für circa eine Stunde, die Firewall und so ziemlich alle Sicherungen außer dem Antiviren-Programm aus bestimmten Gründen deaktiviert und den Computer verlassen, direkt danach war die Kiste langsam und mir schwante schon Schlechtes.
Jetzt denke ich auch schon darüber nach, alles neu zu installieren, denn so richtig vertraue ich diesem Kasten nicht mehr. Sollte ich's tun?


Hier noch:
Logfile of HijackThis v1.97.7
Scan saved at 23:01:59, on 10.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2800.1106)

Running processes:
C:\WINDOW\System32\smss.exe
C:\WINDOW\system32\winlogon.exe
C:\WINDOW\system32\services.exe
C:\WINDOW\system32\lsass.exe
C:\WINDOW\system32\svchost.exe
C:\WINDOW\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOW\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\mysql\bin\mysqld-max-nt.exe
C:\WINDOW\System32\svchost.exe
C:\WINDOW\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOW\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOW\System32\ctfmon.exe
C:\Programme\BHODemon 2.0\BHODemon.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Dominique\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOW\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Xerox WorkCentre 470cx Monitor] RUNDLL32.EXE C:\WINDOW\System32\X470SHLL.DLL,AutoUpdatePnPValue
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOW\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOW\System32\ctfmon.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2.0\BHODemon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: *.bjork.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095874244018
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...209.1921527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CB9555B-8A33-41A2-B24E-15F539F3506F}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CB9555B-8A33-41A2-B24E-15F539F3506F}: NameServer = 217.237.149.161 217.237.151.225




Danke schomal

Cidre 10.10.2004 23:02
Hallo,
Zitat:
Jetzt denke ich auch schon darüber nach, alles neu zu installieren, denn so richtig vertraue ich diesem Kasten nicht mehr. Sollte ich's tun?
JA, unbedingt!
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Dein Problem ist, dass du ein falsches Sicherheitsdenken hast. Du setzt auf Sicherheitssoftware jeglicher Art, versorgst aber dein System und die verwendete Software nicht mit Updates und Patches. Gerade diese Patches sind die Grundlage für ein sicheres System.
Diese Seiten solltest du mal in einer ruhigen Minute lesen und danach handeln:
Kompromittierung unvermeidbar?
Wie kann ich denn nun mein System vernünftig absichern?

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surf- und Downloadverhalten überdenken


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131