Trojan Horse IRC/BackDoor.SdBot.21Ak

Dieses Thema im Forum "Sicherheit" wurde erstellt von monimmm, 25. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. monimmm

    monimmm Byte

    Registriert seit:
    2. Januar 2004
    Beiträge:
    70
    Hallo,
    ich soll den Karren mal wieder aus den Dreck ziehen.....

    Chronologie der Ereignisse:
    1. Mit Adaware routinemässig abgescannt
    Ergebnis: 4-5 Tracking cookies
    2. Mit Spybot auch noch abgescannt
    Ergebnis: Nix
    ABER: Während des Scans etliche Male Viruswarnung in DOS-Bild von AVG.:
    Trojan Horse IRC/BackDoor.SdBot.21Ak
    3. Scan mit AVG
    Der fand jetzt den Virus, wie schon unter dem Spybotscan angekündigt, im Windowssystemordner im File SYSMON32.EXE
    4.Virus mit AVG entfernt.
    5. Nochmal mit Spybot. Der fand wieder nix, aber beim Scan auch keine AVG-Warnfenster erschienen.
    6. Nach neuem Booten, nochmal AVG-Scan, diesmal das Dreckstück im PQSC-Ordner im letzten Checkpoint
    (PowerQuestSecondChance), dort war es im abgesicherten Modus per Hand zu löschen.
    7. AntiKOwBot.exe gedownloaded und scannen lassen: Nix mehr gefunden.
    8. AVG scannen lassen nix mehr gefunden.

    Hijacklog:
    Vor und nach den Aktionen war identisch!
    Logfile of HijackThis v1.97.7
    Scan saved at 20:46:40, on 25.04.04
    Platform: Windows 98 SE (Win9x 4.10.1998A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    E:\MOUSEWARE\SYSTEM\EM_EXEC.EXE
    E:\GRISOFT\AVG6\AVGCC32.EXE
    E:\PQSC\PROGRAM\SCTRAY.EXE
    C:\WINDOWS\STARTER.EXE
    C:\WINDOWS\PROFILES\MONI\DESKTOP\INSPEKTION\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;gopher=gopher-proxy.btx.dtag.de:80;http=www-proxy.btx.dtag.de:80
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online;localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\FGIEBAR.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [EM_EXEC] e:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [AVG_CC] E:\GRISOFT\AVG6\avgcc32.exe /startup
    O4 - HKLM\..\Run: [SecondChance] E:\PQSC\PROGRAM\SCTRAY.EXE
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O8 - Extra context menu item: Mit FlashGet laden - E:\FLASHGET\jc_link.htm
    O8 - Extra context menu item: Alles mit FlashGet laden - E:\FLASHGET\jc_all.htm
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs5.chat.sc5.yahoo.com/v43/yacscom.cab

    Browser: Meist Firefox, ab und an Opera, selten IE
    Email über WEB.DE, kein Emailprogramm.
    Kein Öffnen von emails oder gar Anhängen von unbekannten Absendern.
    Analoganschluss, 30-60 min am Tag im Net.
    Kein Kazaa (!), sondern ab und an Musikdownload mit Winmx.

    Bitte um Kommentierung.

    THX

    Moni
     
  2. Gast

    Gast Guest

    Tja, angenommen, SdBot wurde "gesichert", erst danach als böse erkannt und beseitigt und anschließend eine Sicherung wiederhergestellt, ist dann SdBot wieder da und verleitet zum Aktivieren.
    Dass SdBot in besagter Datei gefunden wurde und nicht etwa in einem temporären Ordner bzw. dem Browsercache, lässt zumindest mich hier aus der Ferne doch etwas daran zweifeln, dass er NICHT aktiv war.
     
  3. monimmm

    monimmm Byte

    Registriert seit:
    2. Januar 2004
    Beiträge:
    70
    Na, dann erstmal vielen Dank für die Kommentierungen.

    Gute Nacht.

    @Steele
    Bekomme ich noch Erläuterungen wg. PQSC?

    Ciao
    Moni
     
  4. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    Starter.exe gehört zu einem audioprogramm
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
     
  5. monimmm

    monimmm Byte

    Registriert seit:
    2. Januar 2004
    Beiträge:
    70
    Öh,nicht dass ich wüsste.....
    Ehrlich gesagt: Nein:)

    Moni
     
  6. Gast

    Gast Guest

    Gehört zur Soundkarte.
     
  7. Gast

    Gast Guest

    Fein gemacht.
    Problem:
    Lief die Datei, in der SD.Bot zuerst gefunden wurde?
    Falls ja:
    Na rate mal.... format C:
    Falls nein. Fein.
    Dass hier "Second Chance" kontraproduktiv hätte werden können, ist soweit klar, oder?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen