Trojan Horse IRC/BackDoor.SdBot.21Ak

Hallo,
ich soll den Karren mal wieder aus den Dreck ziehen.....

Chronologie der Ereignisse:
1. Mit Adaware routinemässig abgescannt
Ergebnis: 4-5 Tracking cookies
2. Mit Spybot auch noch abgescannt
Ergebnis: Nix
ABER: Während des Scans etliche Male Viruswarnung in DOS-Bild von AVG.:
Trojan Horse IRC/BackDoor.SdBot.21Ak
3. Scan mit AVG
Der fand jetzt den Virus, wie schon unter dem Spybotscan angekündigt, im Windowssystemordner im File SYSMON32.EXE
4.Virus mit AVG entfernt.
5. Nochmal mit Spybot. Der fand wieder nix, aber beim Scan auch keine AVG-Warnfenster erschienen.
6. Nach neuem Booten, nochmal AVG-Scan, diesmal das Dreckstück im PQSC-Ordner im letzten Checkpoint
(PowerQuestSecondChance), dort war es im abgesicherten Modus per Hand zu löschen.
7. AntiKOwBot.exe gedownloaded und scannen lassen: Nix mehr gefunden.
8. AVG scannen lassen nix mehr gefunden.

Hijacklog:
Vor und nach den Aktionen war identisch!
Logfile of HijackThis v1.97.7
Scan saved at 20:46:40, on 25.04.04
Platform: Windows 98 SE (Win9x 4.10.1998A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
E:\MOUSEWARE\SYSTEM\EM_EXEC.EXE
E:\GRISOFT\AVG6\AVGCC32.EXE
E:\PQSC\PROGRAM\SCTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\PROFILES\MONI\DESKTOP\INSPEKTION\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;gopher=gopher-proxy.btx.dtag.de:80;http=www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] e:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVG_CC] E:\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [SecondChance] E:\PQSC\PROGRAM\SCTRAY.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O8 - Extra context menu item: Mit FlashGet laden - E:\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs5.chat.sc5.yahoo.com/v43/yacscom.cab

Browser: Meist Firefox, ab und an Opera, selten IE
Email über WEB.DE, kein Emailprogramm.
Kein Öffnen von emails oder gar Anhängen von unbekannten Absendern.
Analoganschluss, 30-60 min am Tag im Net.
Kein Kazaa (!), sondern ab und an Musikdownload mit Winmx.

Bitte um Kommentierung.

THX

Moni

 

Tja, angenommen, SdBot wurde "gesichert", erst danach als böse erkannt und beseitigt und anschließend eine Sicherung wiederhergestellt, ist dann SdBot wieder da und verleitet zum Aktivieren.
Dass SdBot in besagter Datei gefunden wurde und nicht etwa in einem temporären Ordner bzw. dem Browsercache, lässt zumindest mich hier aus der Ferne doch etwas daran zweifeln, dass er NICHT aktiv war.

 

Na, dann erstmal vielen Dank für die Kommentierungen.

Gute Nacht.

@Steele
Bekomme ich noch Erläuterungen wg. PQSC?

Ciao
Moni

 

Starter.exe gehört zu einem audioprogramm
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

 

Öh,nicht dass ich wüsste.....

Ehrlich gesagt: Nein

Moni

 

Gehört zur Soundkarte.

 

Fein gemacht.
Problem:
Lief die Datei, in der SD.Bot zuerst gefunden wurde?
Falls ja:
Na rate mal.... format C:
Falls nein. Fein.
Dass hier "Second Chance" kontraproduktiv hätte werden können, ist soweit klar, oder?