W32/Sdbot.worm.gen - HILFE!!!

Hallo,

es fing damit an das ich nicht mehr auf HTTPS Seiten zugreifen konnte, der Taskmanager liess sich nicht mehr starten, d.h. das Fenster geht kurz auf aber gleich wieder zu. Genau dasselbe passierte mit der Registry, HighjackThis und Norton Antivirus etc.

Nun habe ich Stinger über den Rechner laufen lassen und es wurden 3 Viren vom Typ W32/Sdbot.worm.gen gefunden und gelöscht.

Jedoch besteht das obige Problem immer noch. Ich wollte mit HighJack this ein Log erstellen aber auch dieses Program lässt sich nicht starten. Einträge in der Registry kann ich auch nicht mehr ändern da ich garnicht rein komme.

An diesem Punkt weiss ich nicht mehr weiter. Kann mir BITTE jemand weiterhelfen?


DANKE,
Maik

 

kurz und knapp
wenn du drei W32ger hattest dann sind da auch noch mehr

an deiner stelle würde ich versuchen alle patche auf ne cd zu packen und den rechner neu aufsetzen
is meiner meinung nach das sicherste und wohl auch das beste



wenn der rechner dann wieder sauber is

nicht auf alles klicken was erscheint

sondern erst überlegen
dann nachdenken
dann nochmal alles überdenken
und dann weg von der seite und auf nix klicken

 

Hallo,

bennene die "HijackThis.exe" um in zum Beispiel "Hijack.com".. um den Virus zu überlisten. Teste ob das Programm dann startet und poste das LOG..

Als Ersatz für den Taskmanager nimmst du den Process-Explorer von Sysinternals... vielleicht hast du den auch schon in deinem Werkzeugkasten:

http://www.wintotal.de/softw/index.php?id=533

 

Hijackthis-Anleitung und Downloadquelle. (Bevor Nevok kommt)

 

Was soll das denn bitteschön heißen?

 

weil das meist dein erster tipp is

 

@Nevok
Das war nicht böse gemeint und sollte dich etwas entlasten.
Es war nicht meine Absicht dich zu verärgern.

 

Mensch deoroller, das weiß ich doch...

Ich hatte bloß den -Smilie vergessen.

 

Hallo Leute,

Das Umbenennen von Highjack This hat geklappt und unten findet ihr das Log file. Könnt Ihr da bitte mal reinschauen?

http://www.hijackthis.de/logfiles/7546cb1b707d16a9731411de4b66919f.html

DANKE
Maik

 

So so, und warum zeigt HijackThis die dann noch an, wenn die angeblich gelöscht wurden?

Ich würde jedenfalls nicht lange dran rumdoktern, sondern am besten gleich eine Neuinstallation durchführen. Am besten nach dieser Anleitung:

http://www.cidres-security.de/neuaufsetzen.html

Gruß
Nevok

 

Danke für die Hilfe, werde das System neu aufsetzen.

Könnt Ihr mir sagen wie ich mir den Virus eingefangen haben "könnte"?

Ich lade ab und zu Filme herunter, kann es sein das der Virus in einem der Filme war?

Danke!!
Maik

 

Hallo,
möglich das ihn dir über Filme eingehandelt hast, aber bedeutend wahrscheinlicher ist das der Grund dein total veraltetes System ist, SP1 war vor zwei Jahren mal aktuell.
Noch vor Virenscanner oder anderen Absicherungen muss ein aktuelles System stehen, sonst nützt alles weitere nichts, also zukünftig die automatische Updatefunktion aktivieren.


Grüße Jasager

 

W32/RBOT-PN WORM kommt über Netzwerkfreigaben

* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Verändert Kennwörter
* Speichert Tastenfolgen
* Installiert sich in der Registrierung

http://www.sophos.de/virusinfo/analyses/w32rbotpn.html

Anstatt auf Norton Internet Security zu vertrauen, hätte das Deaktivieren der Netzwerkfreigaben genügt, um die Würmer fernzuhalten, wie sie das Script auf dingens.org u.a. automatisch deaktiviert.

OPTIX.04.C VIRUS

Troj/Optix-04 ist ein Backdoor-Trojaner. Wenn der Trojaner-Server auf einem Computer aktiv ist, ist dieser Computer offen für unbefugten Zugriff von Netzwerklokationen aus. Um Zugriff auf den infizierten Computer zu erhalten, muss ein Angreifer das Client-Programm des Trojaners starten.

Der Trojaner-Server erstellt Kopien von sich im Windows- und Windows-System-Ordner und fügt einen Wert zu folgendem Registrierungseintrag hinzu, um sicherzugehen, dass eine dieser Kopien beim Start von Windows aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Troj/Optix-04 erstellt außerdem eine Datei namens winstart.bat im Windows-Ordner, die den Trojaner in die Startgruppe des Startmenüs kopiert.

Der Hammer: Schutz verfügbar seit Dezember 2001

http://www.sophos.de/virusinfo/analyses/trojoptix04.html

Infos zum Rbot: # Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Verbreitungsweise

* Netzwerkfreigaben

Auf dem PC würde ich noch nicht mal meine Mails abrufen.

 

Die Maschine ist hin, da ist nichts mehr zu retten. Veraltetes Betriebssystem.. da hilft auch kein Norton mehr Schutz.

Hier eine Website die beschreibt was der Backdoor "Backdoor.Win32.Rbot.gen" so anrichtet:

Virus Information Center:
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39437

Da sind auch die Microsoft Sicherheitslücken gelistet über die der Trojaner eindringen kann in dein System. Zudem hat / kann das Teil deine Passwörter, CD Keys / Seriennummer deiner installierten Software auslesen und klauen. Dein Rechner ist eine "Zombie-Maschine", die zum Beispiel für Angriffe auf andere missbraucht wird und ferngesteuert ist.

Überlege dir ob du in Zukunft überhaupt noch im Internet tätig sein willst, weil sowas wie hier jetzt darf nicht passieren.
Also erst Sicherheits- Training / -Schulung / -Konzept

Hier kannst du dich über aktuelle Sicherheitslücken informieren die von dir unbedingt zu beheben sind:

Bundesamt für Sicherheit in der Informationstechnik:
http://www.buerger-cert.de/archiv.aspx
http://www.buerger-cert.de