Sdbot????

Dieses Thema im Forum "Sicherheit" wurde erstellt von NewEnd, 27. September 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. NewEnd

    NewEnd Byte

    Registriert seit:
    4. Juni 2003
    Beiträge:
    11
    Hi@ll
    Ich habe gestern mein Pc durchgescannt(Norton Antivirus 2003),und dabei einen virus gefunden der sich 'Sdbot 'nennt.Leider lässt sich der Virus nicht löschen oder der gleichen,also was muss ich machen damit er gelöscht wird???
    Der Virus ist auf der Datei C:/windows/system32/system32.exe


    Danke jetzt schonmal für die Hilfe(hoffe mal das mir einer helfen kann):aua: :confused:
     
  2. NewEnd

    NewEnd Byte

    Registriert seit:
    4. Juni 2003
    Beiträge:
    11
    Hat alles bestens geklappt.Danke!:D :bet:
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  4. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    http://www.tu-berlin.de/www/software/virus/savemode.shtml

    "Windows XP
    Schalten Sie den PC ein, warten Sie auf die Meldung

    Windows wird gestartet...

    und drücken Sie dann sofort die Taste [F8]."

    Mfg Manni
     
  5. NewEnd

    NewEnd Byte

    Registriert seit:
    4. Juni 2003
    Beiträge:
    11
    Wie bekomm ich Windows Xp im Abgesicherten modus??
     
  6. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Infos hier:
    http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.html
    http://www.f-secure.fi/v-descs/sdbot.shtml

    Symantec empfiehlt den Rechner im abgesicherten Modus zu starten und dann im Taskmanager den entsprechenden Prozess zu beenden. Danach sollte sich die Datei System32.Exe löschen lassen.

    Anschließend sollten noch diese veränderten Einträge (in denen die System32.Exe vorkommt) in der Registry bearbeitet werden:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunServices

    Mfg Manni
     
  7. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    versuche den Virus mit dem Tool "AntiK0wBot.exe" auf dieser
    Website erhältlich zu entfernen.

    http://www.pro-support.de/antivirus.shtml

    Im Kazaa-Tausch-Verzeichnis vorhandene Dateien (die auch vom Wurm angelegt werden) sind mit fast 100prozentiger Sicherheit ebenfalls infiziert, daher dort am besten auch alles loeschen.

    Gruss
    Wolfgang

    Falls du Kazza benutzt.. lösche den Müll endlich von deinem Rechner.. das ist nur ein Problem dass du dir damit einfängst.
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Info zum Trojaner:

    Typ: Trojaner
    Betroffen: alle ungesicherten 32-Bit Windows-Systeme
    Verbreitung: Port 6667 (Standard IRC Port)
    Kodelänge: k.A.

    Beschreibung: kopiert sich als folgende Dateien nach %System%
    ("%System%" steht für die Verzeichnisse \System\ oder \System32\ im Windowsstammverzeichnis):
    Aim95.exe
    Cmd32.exe
    Cnfgldr.exe
    Explorer.exe
    FB_PNU.EXE
    IEXPL0RE.EXE
    iexplore.exe
    Mssql.exe
    MSTasks.exe
    sock32.exe
    Svchosts.exe
    Sys32.exe
    Sys3f2.exe
    Syscfg32.exe
    Sysmon16.exe
    modifiziert die Registry, sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (s.u.)
    enthält seinen eigenen IRC-Klienten, womit er sich mit fest definierten IRC-Channels verbinden kann und auf Kommandos des Hackers wartet. Der Hacker hat über ein Kennwort Zugriff auf den Trojaner und kann folgende Kommandos ausführen:
    die Trojaner-Installation kontrollieren
    den IRC-Klienten auf dem infizierten System steuern
    den Trojaner dynamisch aktualisieren
    den Trojaner zu weiteren IRC-Channels senden, um weitere Systeme anzugreifen
    Dateien herunterladen und ausführen
    System- und Netzwerkinformationen an den Hacker senden
    DoS- (Denial of Service-) Attacken gegen beliebige Ziele ausführen
    sich vollständig deinstallieren durch Löschen der relevanten Registry-Einträge


    Registry: einen der untenstehenden oder ähnliche Werte in die beiden Schlüssel:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices:
    Configuration Manager = Cnfgldr.exe
    System Monitor = Sysmon16.exe
    MSSQL = Mssql.exe
    Configuration Loader = aim95.exe
    Internet Config = svchosts.exe
    System33 = %System%\FB_PNU.EXE
    Configuration Loader = cmd32.exe
    Windows Explorer = Explorer.exe
    Configuration Loader = IEXPL0RE.EXE
    Configuration Loader = %System%\iexplore.exe
    Sock32 = sock32.exe
    Configuration Loader = MSTasks.exe
     
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    mit der Maschine nicht mehr ins Internet gehen, das ist ein Trojanisches Pferd Backdoor der deinen Rechner aufmacht.
    Wieso hat deine Firewall keinen Alarm gegeben. Hast du dir den über das KaZa-Netz eingefangen ??.

    Gruss
    Wolfgang
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen