Hey Jungs & Mädels
folgendes Problem, wie im Betreff drin steht, hab ich diesen Virus auf meiner Platte und weiss mir nicht weiter zu helfen.
Ich hab folgende Schritte ausgefĂĽhrt, jedoch ohne Erfolg.
1. Ad Aware drĂĽberlaufen lassen
2. Spybot drĂĽberlaufen lassen
3. Antivir aktualisiert und drĂĽberlaufen lassen
das ganze natĂĽrlich im abgesicherten Modus...aber der Wurm ist noch immer da.
Wär euch sehr dankbar wenn ihr mir helfen könntet.
Weitere Infos: OS > Windows XP Sp1 (PC ist zu schwach fĂĽr SP2)
Die Datei befindet sich im System32 Ordner
Die Datei heiĂźt "myhost.exe"
Worm/SdBot.54548
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at
17 Beiträge
• Seite 1 von 2 • 1, 2
von Tom-Wien » Do 16 Feb, 2006 16:15
interessant: selbst antivir kennt den auf deren hp ned ...
mach mal nen screen oder kopier die einträge die du unter "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" drinnen hast, hier rein ..
mach mal nen screen oder kopier die einträge die du unter "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" drinnen hast, hier rein ..
LG
Tom
TA KOMBI
Tom
TA KOMBI
- Tom-Wien
- Advanced Power-User
- Beiträge: 3559
- Registriert: So 07 Mär, 2004 11:02
- Wohnort: Wien / LA
von Luzifer » Do 16 Feb, 2006 16:20
also laut AV-HP kennt er den schon...wenn du einfach meinen Betreff bei Google reinschreibst, kommst du zu der HP von AV 
hier die Einträge:
(standart) REG_SZ (Wert nicht gesetzt )
avgnt REG_SZ "C\Programme\Antivir PersonalEdition Classic\avgnt.exe" /min
hier die Einträge:
(standart) REG_SZ (Wert nicht gesetzt )
avgnt REG_SZ "C\Programme\Antivir PersonalEdition Classic\avgnt.exe" /min
- Luzifer
- Board-Mitglied
- Beiträge: 107
- Registriert: Mi 16 Feb, 2005 11:35
- Wohnort: Bezirk St.Pölten
von Luzifer » Do 16 Feb, 2006 16:23
btw...
hier die Url (vorletzter Eintrag = Worm/Sdbot.54548)
http://products.antivir.de/de/threats/vdf_history.html?vdf_no=6.33.00.124
hier die Url (vorletzter Eintrag = Worm/Sdbot.54548)
http://products.antivir.de/de/threats/vdf_history.html?vdf_no=6.33.00.124
- Luzifer
- Board-Mitglied
- Beiträge: 107
- Registriert: Mi 16 Feb, 2005 11:35
- Wohnort: Bezirk St.Pölten
von Tom-Wien » Do 16 Feb, 2006 16:37
UND UNTER "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"?
btw: ANTIVIR IST DER EINZIGE der diesen code verwendet, vielleicht finden wir ja noch heraus welchen namen er "offiziel" hat
btw: ANTIVIR IST DER EINZIGE der diesen code verwendet, vielleicht finden wir ja noch heraus welchen namen er "offiziel" hat
LG
Tom
TA KOMBI
Tom
TA KOMBI
- Tom-Wien
- Advanced Power-User
- Beiträge: 3559
- Registriert: So 07 Mär, 2004 11:02
- Wohnort: Wien / LA
von Luzifer » Do 16 Feb, 2006 17:46
also die Datei wurde jetzt von AntiVir in "myhost.exe.vir" umgeändert als ich auf "umbenennen" geklickt habe...
was nun passiert weiss ich nicht...einfach warten und Tee trinken
was nun passiert weiss ich nicht...einfach warten und Tee trinken
- Luzifer
- Board-Mitglied
- Beiträge: 107
- Registriert: Mi 16 Feb, 2005 11:35
- Wohnort: Bezirk St.Pölten
von wicked_one » Fr 17 Feb, 2006 18:37
xfdisk?
Never a mind was changed on an internet board, no matter how good your arguments are...
- I Am Not A Credible Source
- I Am Not A Credible Source
- wicked_one
- Board-Guru
- Beiträge: 12244
- Registriert: Mo 18 Apr, 2005 20:14
von sp » Sa 18 Feb, 2006 09:44
So, mal sehen inwiefern wir dir weiterhelfen koennen.
1. SdBot ist ein Wurm der sich gerne ueber IM, IRC und HTTP weiterverbreitet.
Es gibt 2 Moeglichkeiten wie dieser Wurm dein System normalerweise infiziert:
Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet und via einen (IE) Exploit infiziert.
oder:
Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet, laedst dort eine .exe File runter und fuehrst sie aus.
Normalerweise wird dir bei solchen Links gratis Porn oder aehnliches versprochen.
Uebliche Nicknames, falls die Infizierung via IM/IRC stattgefunden hat sind Nina18, Sweet17, ... oder einfach Namen die keinen Sinn ergeben.
Fuer mich hoert das 'immer wieder auftauchen' des Wurms stark danach an das er entweder doppelt bzw. ein Loader auf deinem System ist.
Oder du dich, aus welchen Grund auch immer, immer wieder infizierst.
Interessant waere fuer mich persoenlich der Output von Norman Sandbox [1] (nettes Programm, kann ich nur weiterempfehlen), wenn du die File scannen laesst. Die Live Variante funktioniert ganz normal ueber deinen Browser.
Hast du nach dem umbenennen/loeschen auf nachgesehen ob der Prozess noch gerannt ist?
Ein *SCREENSHOT* von msconfig (Start-Ausfuehren-msconfig) waere recht hilfreich. Vor allem der 'Startup' (Deutsch: kA, letzter Tab halt) Tab mit *VOLLEN* Programmpfaden und *ALLEN* von denen ist das was wir brauchen.
Du kannst dich gerne via E-Mail an mich wenden wenn dir diese Infos 'zu riskant zum rausgeben sind'. mailto:sp at sp dot or dot at
Mit diesen Informationen kann ich oder auch jemand anderes hier sicher weiter helfen.
Ohne diese Infos siehts schlecht aus.
MfG,
sp
PS: Rechner zu schwach fuer SP2? Erlaeutern, das wuerd mich wirklich interessieren.
[1] Norman Sandbox Live, Submit Sample Form: http://sandbox.norman.no/live_4.html
1. SdBot ist ein Wurm der sich gerne ueber IM, IRC und HTTP weiterverbreitet.
Es gibt 2 Moeglichkeiten wie dieser Wurm dein System normalerweise infiziert:
Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet und via einen (IE) Exploit infiziert.
oder:
Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet, laedst dort eine .exe File runter und fuehrst sie aus.
Normalerweise wird dir bei solchen Links gratis Porn oder aehnliches versprochen.
Uebliche Nicknames, falls die Infizierung via IM/IRC stattgefunden hat sind Nina18, Sweet17, ... oder einfach Namen die keinen Sinn ergeben.
Fuer mich hoert das 'immer wieder auftauchen' des Wurms stark danach an das er entweder doppelt bzw. ein Loader auf deinem System ist.
Oder du dich, aus welchen Grund auch immer, immer wieder infizierst.
Interessant waere fuer mich persoenlich der Output von Norman Sandbox [1] (nettes Programm, kann ich nur weiterempfehlen), wenn du die File scannen laesst. Die Live Variante funktioniert ganz normal ueber deinen Browser.
Hast du nach dem umbenennen/loeschen auf nachgesehen ob der Prozess noch gerannt ist?
Ein *SCREENSHOT* von msconfig (Start-Ausfuehren-msconfig) waere recht hilfreich. Vor allem der 'Startup' (Deutsch: kA, letzter Tab halt) Tab mit *VOLLEN* Programmpfaden und *ALLEN* von denen ist das was wir brauchen.
Du kannst dich gerne via E-Mail an mich wenden wenn dir diese Infos 'zu riskant zum rausgeben sind'. mailto:sp at sp dot or dot at
Mit diesen Informationen kann ich oder auch jemand anderes hier sicher weiter helfen.
Ohne diese Infos siehts schlecht aus.
MfG,
sp
PS: Rechner zu schwach fuer SP2? Erlaeutern, das wuerd mich wirklich interessieren.
[1] Norman Sandbox Live, Submit Sample Form: http://sandbox.norman.no/live_4.html
- sp
- Junior Board-Mitglied
- Beiträge: 37
- Registriert: Di 22 Nov, 2005 23:07
- Wohnort: Villach, AT
17 Beiträge
• Seite 1 von 2 • 1, 2
ZurĂĽck zu ANTIVIRUS & SECURITY
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste