sdbot?

[laube]

hallo,

ich hab da ein problem, gestern auf einmal kam dieses tolle fenster :" cpmputer wird in 60 sec runter gefahren"

danach habe ich sofort gescannt, mein antivir hat zwar einige datein vom "sdbot.30720.26" gefunden aber irgendwas ist noch.

hab schonmal einen hijack vorbereitet,

Logfile of HijackThis v1.99.1
Scan saved at 08:01:39, on 07.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Sygate\SHN\sgserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe
C:\Programme\Sierra Wireless Inc\3G Watcher\Watcher.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Sierra Wireless Inc\3G Watcher\SwiApiMux.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michel Lauberbach\Desktop\Viren finder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {34E89093-08BB-4581-A429-0079CC6CDA25} - C:\WINDOWS\System32\duser32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe"
O4 - HKLM\..\Run: [Watcher3G] "C:\Programme\Sierra Wireless Inc\3G Watcher\Watcher.exe" /minimized
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-U ... E_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/be ... der_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43ACC1AB-B4D3-4DDC-A433-C6C07A144530}: NameServer = 212.23.97.2 212.23.97.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SyGateService (SaService) - Sygate technologies Inc. - C:\Programme\Sygate\SHN\sgserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

kann mir jmd weiter helfen, eine system wiederherstellung ist bei mir im moment nicht möglich, da ich mir erst ein neues cdrom laufwerk zulegen muss.


mfg laube

[BlueScreen-Bertrand]

Vorbereitungen
Lade die aktuellste Version von HijackThis hier ("HijackThis Executable") herunter, und ersetze die alte Version.

Beende, bevor du fortfährst, die folgenden Programme, sofern sie laufen und vorhanden sind:
- Antivirenprogramme
- Firewall (außer Windows-Firewall)
- Spybot S&D TeaTimer
(In der Regel lassen sich alle über die Symbole rechts in der Taskleiste beenden oder anhalten)

Um sich bei der Verwendung von Onlinescannern oder HijackThis nicht störend auf die Leistung dieser Programme auszuwirken, sollten auch alle anderen Anwendungsprogramme beendet werden.

Ermittlung und Löschung gefährlicher Dateien
Lade File Eraser herunter und installiere das Programm. Lade dir dann die aktuelle Löschliste herunter. Beachte die Anleitung oder drucke sie aus (im abgesicherten Modus wird keine internetverbindung möglich sein). Führe noch keinen Löschvorgang durch!

Lade Datfindbat herunter und starte das Programm. Es werden mehrere Textdateien erstellt, die Listen der Inhalte wichtiger Ordner enthalten. Bearbeite diese Listen so, dass nur die Inhalte der letzten dreißig Tage angezeigt werden und speichere die Dateien ab.

Rufe die Website kaspersky.com/kos/german/...kavwebscan... im Internet Explorer auf; beachte die Hinweise.
Führe eine komplette Überprüfung durch und stelle den Bericht in CODE-Tags ein.

Starte Windows im abgesicherten Modus neu.
Wende jetzt File Eraser gemäß der Anleitung an.

Unnötige und gefährliche Einträge mit HijackThis beheben
Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O2 - BHO: (no name) - {34E89093-08BB-4581-A429-0079CC6CDA25} - C:\WINDOWS\System32\duser32.dll (file missing)

Klicke dann auf Fix checked, um diese Einträge zu entfernen. Starte Windows neu.

Updates für das Betiebssystem und Programme
Für diese Version von Windows sollte unbedingt das aktuellste Service Pack installiert werden. Informationen zu Service Packs und Updates findest du hier.

Deine Installation von Windows ist technisch nicht länger aktuell. Besuche die Website update.microsoft.com, um Windows zu aktualisieren und Sicherheitslücken zu schließen.

Unter dieser Version von Windows sollte die aktuellste Version des Adobe Readers installiert werden.
http://www.adobe.com/products/acrobat/readstep2.html

Die eingesetzte Sicherheitssoftware ist veraltet und sollte deinstalliert und ersetzt werden.

Berichte erstellen
Erstelle mit HijackThis einen neuen Bericht und stelle ihn in CODE-Tags in diesem Thread ein, genauso, sofern vorhanden, die Berichte von Kaspersky, Virustotal und Datfindbat/DateilisteX64.

Code: Alles auswählen

Der Text in Code-Tags sieht später so aus und wird zwischen die Tags [code]und[/code] geschrieben.

[laube]

hier ist das von kaspersky, ich werd jetzt das mit dem löschen durchführen, hoffentlich klapt es, schonmal danke im vorraus

Code: Alles auswählen

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 7. Dezember 2007 19:53:17
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken:  7/12/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 475936
-------------------------------------------------------------------------------

Scan-Einstellungen:
   Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
   Archive untersuchen: ja
   Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
   C:\WINDOWS
   C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
   Untersuchte Objekte insgesamt: 22301
   Viren gefunden: 5
   Infizierte Objekte gefunden: 7
   Verdächtige Objekte gefunden: 0
   Untersuchungszeit: 00:18:55

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\software.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\default.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SYSTEM   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SOFTWARE   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\DEFAULT   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\drivers\sptd.sys   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\i   Infizierte Objekte: Trojan-Downloader.BAT.Ftp.ab   übersprungen
C:\WINDOWS\system32\h323log.txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Debug\PASSWD.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Sti_Trace.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiaservc.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiadebug.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Downloaded Program Files\popcaploader.dll   Infizierte Objekte: not-a-virus:Downloader.Win32.PopCap.a   übersprungen
C:\WINDOWS\SchedLgU.Txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{006E250C-AA57-4594-9715-D94F0AC0F598}.bin   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\WindowsUpdate.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\NDNuninstall6_38.exe   Infizierte Objekte: not-a-virus:AdWare.Win32.NewDotNet   übersprungen
C:\WINDOWS\NDNuninstall7_48.exe   Infizierte Objekte: not-a-virus:AdWare.Win32.NewDotNet.e   übersprungen
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\mirc63.exe/stream/data0014   Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.63   übersprungen
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\mirc63.exe/stream   Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.63   übersprungen
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\mirc63.exe   NSIS: infiziert - 2   übersprungen

Die Untersuchung wurde abgeschlossen.


[BlueScreen-Bertrand]

Das hier kommt jetzt noch dazu:

Starte Windows im abgesicherten Modus neu.
Lösche die folgenden Dateien:

Code: Alles auswählen

C:\WINDOWS\system32\i

C:\WINDOWS\Downloaded Program Files\popcaploader.dll

C:\WINDOWS\NDNuninstall6_38.exe

C:\WINDOWS\NDNuninstall7_48.exe

C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\mirc63.exe

Erstelle die Berichte von HijackThis und Datfindbat neu, da sie sich eventuell ändern könnten.