Worm/SdBot.54548

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Worm/SdBot.54548

Beitragvon Luzifer » Do 16 Feb, 2006 15:48

Hey Jungs & Mädels


folgendes Problem, wie im Betreff drin steht, hab ich diesen Virus auf meiner Platte und weiss mir nicht weiter zu helfen.

Ich hab folgende Schritte ausgefĂĽhrt, jedoch ohne Erfolg.

1. Ad Aware drĂĽberlaufen lassen
2. Spybot drĂĽberlaufen lassen
3. Antivir aktualisiert und drĂĽberlaufen lassen

das ganze natĂĽrlich im abgesicherten Modus...aber der Wurm ist noch immer da.

Wär euch sehr dankbar wenn ihr mir helfen könntet.

Weitere Infos: OS > Windows XP Sp1 (PC ist zu schwach fĂĽr SP2)
Die Datei befindet sich im System32 Ordner
Die Datei heiĂźt "myhost.exe"
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon jutta » Do 16 Feb, 2006 15:51

was passiert, wenn du sie einfach loescht? (oder umbenennst, von myhost.exe auf myhost.bla oder so?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Luzifer » Do 16 Feb, 2006 15:57

wenn ich sie lösche kommt sie immer wieder je nach lust und laune.
umbenannt hab ich sie noch nie, aber ich könnts ja mal probieren wenn sie wieder auftaucht *g*
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Tom-Wien » Do 16 Feb, 2006 16:00

bist du sicher das du W32/Sdbot.worm!54548 hast und nciht W32/Sdbot.worm!48548?
LG

Tom
TA KOMBI
Tom-Wien
Advanced Power-User
Advanced Power-User
 
Beiträge: 3559
Registriert: So 07 Mär, 2004 11:02
Wohnort: Wien / LA

Beitragvon Luzifer » Do 16 Feb, 2006 16:07

laut AntiVir heiĂźt er so wie ich es oben angefĂĽhrt habe
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Tom-Wien » Do 16 Feb, 2006 16:15

interessant: selbst antivir kennt den auf deren hp ned ...

mach mal nen screen oder kopier die einträge die du unter "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" drinnen hast, hier rein ..
LG

Tom
TA KOMBI
Tom-Wien
Advanced Power-User
Advanced Power-User
 
Beiträge: 3559
Registriert: So 07 Mär, 2004 11:02
Wohnort: Wien / LA

Beitragvon Luzifer » Do 16 Feb, 2006 16:20

also laut AV-HP kennt er den schon...wenn du einfach meinen Betreff bei Google reinschreibst, kommst du zu der HP von AV ;)

hier die Einträge:

(standart) REG_SZ (Wert nicht gesetzt )
avgnt REG_SZ "C\Programme\Antivir PersonalEdition Classic\avgnt.exe" /min
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Luzifer » Do 16 Feb, 2006 16:23

btw...

hier die Url (vorletzter Eintrag = Worm/Sdbot.54548)

http://products.antivir.de/de/threats/vdf_history.html?vdf_no=6.33.00.124
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Tom-Wien » Do 16 Feb, 2006 16:37

UND UNTER "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"?

btw: ANTIVIR IST DER EINZIGE der diesen code verwendet, vielleicht finden wir ja noch heraus welchen namen er "offiziel" hat
LG

Tom
TA KOMBI
Tom-Wien
Advanced Power-User
Advanced Power-User
 
Beiträge: 3559
Registriert: So 07 Mär, 2004 11:02
Wohnort: Wien / LA

Beitragvon Luzifer » Do 16 Feb, 2006 16:42

(Standart) REG_SZ (Wert nicht gesetzt)
CTFMON.EXE REG_SZ C:\WINDOWS\System32\ctfmon.exe
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Tom-Wien » Do 16 Feb, 2006 16:46

das gibts ned das du dort nur einen eintrag hast ...
LG

Tom
TA KOMBI
Tom-Wien
Advanced Power-User
Advanced Power-User
 
Beiträge: 3559
Registriert: So 07 Mär, 2004 11:02
Wohnort: Wien / LA

Beitragvon Luzifer » Do 16 Feb, 2006 16:54

tjo...da steht leider nicht mehr drin :(
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon Luzifer » Do 16 Feb, 2006 17:46

also die Datei wurde jetzt von AntiVir in "myhost.exe.vir" umgeändert als ich auf "umbenennen" geklickt habe...

was nun passiert weiss ich nicht...einfach warten und Tee trinken ^^
Bild
Luzifer
Board-Mitglied
Board-Mitglied
 
Beiträge: 107
Registriert: Mi 16 Feb, 2005 11:35
Wohnort: Bezirk St.Pölten

Beitragvon wicked_one » Fr 17 Feb, 2006 18:37

xfdisk?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon sp » Sa 18 Feb, 2006 09:44

So, mal sehen inwiefern wir dir weiterhelfen koennen.

1. SdBot ist ein Wurm der sich gerne ueber IM, IRC und HTTP weiterverbreitet.

Es gibt 2 Moeglichkeiten wie dieser Wurm dein System normalerweise infiziert:

Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet und via einen (IE) Exploit infiziert.
oder:
Du klickst auf einen Link, wirst zu einer Homepage weitergeleitet, laedst dort eine .exe File runter und fuehrst sie aus.

Normalerweise wird dir bei solchen Links gratis Porn oder aehnliches versprochen.

Uebliche Nicknames, falls die Infizierung via IM/IRC stattgefunden hat sind Nina18, Sweet17, ... oder einfach Namen die keinen Sinn ergeben.

Fuer mich hoert das 'immer wieder auftauchen' des Wurms stark danach an das er entweder doppelt bzw. ein Loader auf deinem System ist.
Oder du dich, aus welchen Grund auch immer, immer wieder infizierst.

Interessant waere fuer mich persoenlich der Output von Norman Sandbox [1] (nettes Programm, kann ich nur weiterempfehlen), wenn du die File scannen laesst. Die Live Variante funktioniert ganz normal ueber deinen Browser.

Hast du nach dem umbenennen/loeschen auf nachgesehen ob der Prozess noch gerannt ist?

Ein *SCREENSHOT* von msconfig (Start-Ausfuehren-msconfig) waere recht hilfreich. Vor allem der 'Startup' (Deutsch: kA, letzter Tab halt) Tab mit *VOLLEN* Programmpfaden und *ALLEN* von denen ist das was wir brauchen.

Du kannst dich gerne via E-Mail an mich wenden wenn dir diese Infos 'zu riskant zum rausgeben sind'. mailto:sp at sp dot or dot at

Mit diesen Informationen kann ich oder auch jemand anderes hier sicher weiter helfen.
Ohne diese Infos siehts schlecht aus.

MfG,

sp

PS: Rechner zu schwach fuer SP2? Erlaeutern, das wuerd mich wirklich interessieren.

[1] Norman Sandbox Live, Submit Sample Form: http://sandbox.norman.no/live_4.html
sp
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 37
Registriert: Di 22 Nov, 2005 23:07
Wohnort: Villach, AT

Nächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste