Home » Viren, Trojaner & Malware Forum » Viren!! Tilebot_JO , Sdbot_DAQ , Rbot_GHR » Themenansicht

Viren!! Tilebot_JO , Sdbot_DAQ , Rbot_GHR
#0
16.06.2007, 19:45
Music_Finder
...neu hier

Beiträge: 9
#1 Hallo,
habe leider einige Probleme mit einem PC mit Virenbefall. Habe bereits Bitdefender, Superantispyware und Ad-Aware genutzt, um es loszuwerden, klappte aber nur bedingt. ICh poste unten auch den Log von Bitdefender (was gelöscht werden konnte und was nicht).
Probleme, die auftauchen sind: Der PC fährt extrem langsam hoch und arbeitet danach extrem langsam. Beim Browser Start öffnet sich ein schwarzes Fenster mit "WINNT/system32/svhost.exe" im header... Einige Programme wollen Zugriff aufs internet (habe ich mit zone alarm gesperrt), diese Programme sind:
netthrot.exe
ntfscrypt.exe
scsoft.exe
srsvc.exe

Kann mir bitte, bitte jemand helfen, die Viren loszukriegen?
Danke im Voraus für alle Tips!!

Hier noch die logs:

1) HJT
Logfile of HijackThis v1.99.1
Scan saved at 7:35:15 PM, on 16/06/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINNT\system32\netthrot.exe
C:\WINNT\system32\ntfscrypt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\scsoft.exe
C:\WINNT\system32\srsvc.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\S3tray.exe
C:\WINNT\tppaldr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINNT\system32\internat.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\WINNT\system32\faxsvc.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: H - {040FA520-78C6-41ce-81D0-9E733ABC1A29} - C:\WINNT\system32\comi.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [HDAudio] C:\WINNT\hda.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [mwinpcv] apiqovxk.exe
O4 - HKLM\..\Run: [uiprocs] C:\WINNT\system32\capihxxh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [mwinpcv] apiqovxk.exe
O4 - HKCU\..\Run: [uiprocs] C:\WINNT\system32\capihxxh.exe
O4 - HKCU\..\Run: [userinit.exe] C:\WINNT\userinit.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Card Settings.lnk = C:\WINNT\system32\control.exe
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129130447885
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = tu-muenchen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = tu-muenchen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tu-muenchen.de
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

2) datfind log
.
.
Bitte nur die Eintraege der letzten 3 Monate posten
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT\system32

16/06/2007 07:03p 55,145 vsconfig.xml
16/06/2007 06:39p 4,212 zllictbl.dat
15/06/2007 07:47p 16 servdat.slm
15/06/2007 07:44p 85 ssprs.tgz
15/06/2007 07:44p 352 lsprst7.tgz
15/06/2007 07:44p 338 lsprst7.dll
04/06/2007 04:09p 1 ps.dat
04/06/2007 03:37p 44,179 comi.dll
04/06/2007 03:37p 1,897 help.txt
23/05/2007 01:31p 314,768 FNTCACHE.DAT
14/05/2007 11:30a 187,392 netthrot.exe
06/05/2007 03:37p 185,780 ntfscrypt.exe
23/04/2007 01:58p 189,440 scsoft.exe
13/04/2007 03:19p 7,680 lsdelete.exe
05/04/2007 04:05p 71 ssprs.dll
19/03/2007 02:21p 194,560 srsvc.exe
10/03/2007 08:48p 8 success
09/03/2007 12:02a 54,936 vsutil_loc0407.dll
09/03/2007 12:02a 18,072 imslsp_install_loc0407.dll
09/03/2007 12:02a 22,168 imsinstall_loc0407.dll
09/03/2007 12:02a 394,192 vsdatant.sys
09/03/2007 12:01a 1,087,216 zpeng24.dll
09/03/2007 12:01a 71,408 zlcommdb.dll
09/03/2007 12:01a 83,696 zlcomm.dll
09/03/2007 12:01a 100,080 vsxml.dll
09/03/2007 12:01a 46,832 vswmi.dll
09/03/2007 12:01a 472,816 vsutil.dll
09/03/2007 12:01a 276,208 vspubapi.dll
09/03/2007 12:01a 104,176 vsmonapi.dll
09/03/2007 12:01a 71,408 vsregexp.dll
09/03/2007 12:01a 83,696 vsdata.dll
09/03/2007 12:01a 157,424 vsinit.dll
09/03/2007 12:01a 796,312 libeay32_0.9.6l.dll

.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

16/06/2007 07:39p 98,404 datfind.txt
16/06/2007 07:34p 16,384 ~DF4BFF.tmp
16/06/2007 06:50p 16,384 ~DFFCCF.tmp
10/06/2007 10:05p 122 8A56EAB7.TMP
09/06/2007 08:57p 113 D653F3EC.TMP
5 Datei(en) 131,407 Bytes
0 Verzeichnis(se), 1,827,328,000 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT

16/06/2007 06:50p 1,702 ModemLog_TOSHIBA Internal V.90 Modem.txt
16/06/2007 06:43p 410,687 Sti_Trace.log
16/06/2007 06:43p 1,445,754 WindowsUpdate.log
16/06/2007 06:40p 32,710 SchedLgU.Txt
16/06/2007 06:22p 54,156 QTFont.qfn
16/06/2007 04:04p 863,250 setupapi.log
16/06/2007 03:32p 32,434 userinit.exe
16/06/2007 02:18p 886 wpcjmd.log
16/06/2007 10:11a 2,307 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
15/06/2007 09:59p 1,009,522 ShellIconCache
03/06/2007 08:45p 202 NeroDigital.ini
31/05/2007 07:04p 12,820 IEXPLORE.INI
23/05/2007 01:26p 1,028 ODBC.INI
23/05/2007 01:26p 59 vbaddin.ini
23/05/2007 01:25p 874 win.ini
10/04/2007 03:52p 1,409 QTFont.for
14/03/2007 09:20p 248 accessdll.log
14/03/2007 09:11p 105 avmsysnet.log
14/03/2007 09:10p 1,508 avmadd32.log
10/03/2007 09:12p 1,287 CMinstall.log
10/03/2007 09:12p 6,703 ORiNOCO.log
09/03/2007 12:02a 42,648 zllsputility_loc0407.dll
09/03/2007 12:02a 75,512 zllsputility.exe
03/03/2007 10:24a 5,770 KB918118.log
03/03/2007 10:24a 296,371 iis5.log
03/03/2007 10:24a 137,707 comsetup.log
03/03/2007 10:24a 1,391 imsins.log
03/03/2007 10:24a 114,755 ocgen.log
03/03/2007 10:24a 8,541 ockodak.log
03/03/2007 10:24a 41,869 updspapi.log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 7B83-69AA

Verzeichnis von C:\WINNT\temp

15/06/2007 03:25p 0 $b17a2e8.tmp
09/06/2007 05:19a 127 D653F3EC.TMP
03/06/2007 04:09p 669,464 dneinst.log
08/03/2007 04:07p 256 ZLT03eb7.TMP
08/03/2007 04:07p 256 ZLT03e8c.TMP
08/03/2007 03:11p 256 ZLT01436.TMP
08/03/2007 03:11p 256 ZLT01405.TMP
08/03/2007 01:43p 256 ZLT05090.TMP
08/03/2007 12:57p 256 ZLT02d17.TMP
08/03/2007 12:56p 256 ZLT02cf6.TMP
08/03/2007 12:29p 256 ZLT01828.TMP
08/03/2007 11:26a 256 ZLT06774.TMP
08/03/2007 10:07a 256 ZLT02b00.TMP
08/03/2007 10:07a 256 ZLT02adc.TMP
07/03/2007 10:09a 256 ZLT05efc.TMP
05/03/2007 04:09p 256 ZLT055ff.TMP
04/03/2007 07:32p 256 ZLT02370.TMP
03/03/2007 04:30p 256 ZLT049e5.TMP
02/03/2007 11:27a 256 ZLT01365.TMP
01/03/2007 10:05a 256 ZLT006b8.TMP

3) Bitdefender Log
Geprüfte Dateien
Status

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ma1x1dd1.game
Infiziert: Trojan.GBDialer.J

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ma1x1dd1.game
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ma1x1dd1.game
Gelöscht

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TX78LSCL\bmsppdz[1].txt
Infiziert: Trojan.Downloader.Agent.YBW

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TX78LSCL\bmsppdz[1].txt
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TX78LSCL\bmsppdz[1].txt
Gelöscht

C:\kpqeuep.exe
Infiziert: DeepScan:Generic.Malware.SFMdldg.7A877721

C:\kpqeuep.exe
Desinfektion fehlgeschlagen

C:\kpqeuep.exe
Gelöscht

C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc4
Verdächtig: Dropped:Generic.Malware.Sdld.643E645C

C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc4
Desinfektion fehlgeschlagen

C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc4
Gelöscht


C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc809.exe
Infiziert: DeepScan:Generic.Malware.FYddld.6D827EBB

C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc809.exe
Desinfektion fehlgeschlagen

C:\RECYCLER\S-1-5-21-1214440339-706699826-842925246-500\Dc809.exe
Gelöscht

C:\WINNT\system32\drivers\etc\hosts
Infiziert: Generic.Qhost.A690573D

C:\WINNT\system32\drivers\etc\hosts
Desinfektion fehlgeschlagen

C:\WINNT\system32\drivers\etc\hosts
Gelöscht

C:\WINNT\system32\max1d1641.exe
Infiziert: Trojan.GBDialer.J

C:\WINNT\system32\max1d1641.exe
Desinfektion fehlgeschlagen

C:\WINNT\system32\max1d1641.exe
Gelöscht

C:\WINNT\system32\max1d1641.exe~
Infiziert: Trojan.GBDialer.J

C:\WINNT\system32\max1d1641.exe~
Desinfektion fehlgeschlagen

C:\WINNT\system32\max1d1641.exe~
Gelöscht

C:\WINNT\system32\netthrot.exe
Infiziert: Backdoor.RBot.XAV

C:\WINNT\system32\netthrot.exe
Desinfektion fehlgeschlagen

C:\WINNT\system32\netthrot.exe
Löschung fehlgeschlagen

C:\WINNT\system32\ntfscrypt.exe
Infiziert: DeepScan:Generic.Sdbot.9EBD7F37

C:\WINNT\system32\ntfscrypt.exe
Desinfektion fehlgeschlagen

C:\WINNT\system32\ntfscrypt.exe
Löschung fehlgeschlagen

C:\WINNT\system32\scsoft.exe
Infiziert: DeepScan:Generic.Sdbot.AD8930D9

C:\WINNT\system32\scsoft.exe
Desinfektion fehlgeschlagen

C:\WINNT\system32\scsoft.exe
Löschung fehlgeschlagen

C:\WINNT\system32\srsvc.exe
Infiziert: DeepScan:Generic.Malware.FMWX!B.11210FFF

C:\WINNT\system32\srsvc.exe
Desinfektion fehlgeschlagen

C:\WINNT\system32\srsvc.exe
Löschung fehlgeschlagen

C:\WINNT\Temp\ÑÒFMON.exe
Infiziert: Win32.Bagle.M@mm

C:\WINNT\Temp\ÑÒFMON.exe
Desinfektion fehlgeschlagen

C:\WINNT\Temp\ÑÒFMON.exe
Gelöscht

C:\xaffsp.exe
Infiziert: Trojan.Proxy.Wopla.V

C:\xaffsp.exe
Desinfektion fehlgeschlagen

C:\xaffsp.exe
Gelöscht
Seitenanfang Seitenende
16.06.2007, 22:05
felix1
Member

Beiträge: 500
#2 Lasse diese Einträge:
netthrot.exe
ntfscrypt.exe
scsoft.exe
srsvc.exe
WINNT/system32/svhost.exe
hier prüfen:
http://virusscan.Jotti.org/de/
Poste die kompletten Ergebnisse!

Ansonsten empfinde ich den Aktualisierungsstand des PC schon als sehr antquiert;)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
17.06.2007, 18:58
Music_Finder
...neu hier

Themenstarter

Beiträge: 9
#3 ...Danke für den Tip, allerdings bekomme ich keinen Zugriff auf den Online-Scanner - auch von einem anderen, nicht infizierten Computer aus... ist evtl. der online-scanner überlastet? bzw. gibt es einen anderen Weg?
Seitenanfang Seitenende
18.06.2007, 10:27
Music_Finder
...neu hier

Themenstarter

Beiträge: 9
#4 Hi Felix,
hat bißchen gedauert, leider, aber hier sind die Meldungen von Jotti.org, kannst Du damit etw. anfangen?


1) File: netthrot.exe
Status:
INFECTED/MALWARE
MD5: 27fb60447aabf3f1608cd3add9595a75
Packers detected:
PE_PATCH
Bit9 reports: File not found

Scan taken on 18 Jun 2007 08:00:42 (GMT)
A-Squared
Found nothing
AntiVir
Found WORM/Sdbot.187392.11
ArcaVir
Found Trojan.Sdbot.Qt
Avast
Found Win32:SdBot-gen44
AVG Antivirus
Found IRC/BackDoor.SdBot3.AXL
BitDefender
Found Backdoor.RBot.XAV
ClamAV
Found Trojan.SdBot-5790
Dr.Web
Found BackDoor.IRC.Sdbot.1369
F-Prot Antivirus
Found Possibly a new variant of W32/Backdoor-based
F-Secure Anti-Virus
Found Backdoor.Win32.SdBot.qt
Fortinet
Found W32/SDBot.JO!worm
Kaspersky Anti-Virus
Found Backdoor.Win32.SdBot.qt
NOD32
Found probably a variant of Win32/Genetik (probable variant)
Norman Virus Control
Found W32/SDBot.AQKF
Panda Antivirus
Found W32/Ircbot.ATN.worm
Rising Antivirus
Found nothing
VirusBuster
Found Worm.SdBot.FOC
VBA32
Found Backdoor.Win32.SdBot.qt


2) File: ntfscrypt.exe
Status:
INFECTED/MALWARE
MD5: fb140aaa2ab15f578584afcdb6960a7a
Packers detected:
-
Bit9 reports: File not found

Scan taken on 18 Jun 2007 08:12:18 (GMT)
A-Squared
Found Backdoor.Win32.SdBot.qt
AntiVir
Found WORM/Sdbot.185780.1
ArcaVir
Found Trojan.Sdbot.Qt
Avast
Found Win32:SdBot-4448
AVG Antivirus
Found Worm/Spybot.AGV
BitDefender
Found DeepScan:Generic.Sdbot.9EBD7F37
ClamAV
Found Trojan.SdBot-5084
Dr.Web
Found nothing
F-Prot Antivirus
Found Possibly a new variant of W32/Backdoor-based
F-Secure Anti-Virus
Found Backdoor.Win32.SdBot.qt
Fortinet
Found W32/SDBot.QT!tr.bdr
Kaspersky Anti-Virus
Found Backdoor.Win32.SdBot.qt
NOD32
Found probably a variant of Win32/Genetik (probable variant)
Norman Virus Control
Found W32/Spybot.dam
Panda Antivirus
Found nothing
Rising Antivirus
Found Backdoor.SdBot.vtg
VirusBuster
Found Worm.Akbot.N
VBA32
Found Backdoor.Win32.SdBot.qt

3) File: scsoft.exe
Status:
INFECTED/MALWARE
MD5: 96d2cdac5547ae3c2c8c52ea94e1ba8c
Packers detected:
-
Bit9 reports: High Thread detected (more info)

Scan taken on 18 Jun 2007 08:17:09 (GMT)
A-Squared
Found nothing
AntiVir
Found WORM/Sdbot.189440.10
ArcaVir
Found Trojan.Sdbot.Qt
Avast
Found Win32:SdBot-gen44
AVG Antivirus
Found Generic4.GGD
BitDefender
Found DeepScan:Generic.Sdbot.AD8930D9
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found Possibly a new variant of W32/Backdoor-based
F-Secure Anti-Virus
Found Backdoor.Win32.SdBot.qt
Fortinet
Found W32/SpyBot.ACB!worm
Kaspersky Anti-Virus
Found Backdoor.Win32.SdBot.qt
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found W32/Malware.PCR
Panda Antivirus
Found W32/Sdbot.KHU.worm
Rising Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

4) File: srsvc.exe
Status:
INFECTED/MALWARE
MD5: c4db5ec09314b503e65eb88e60c5ea6f
Packers detected:
-
Bit9 reports: File not found

Scan taken on 18 Jun 2007 08:21:34 (GMT)
A-Squared
Found nothing
AntiVir
Found WORM/Sdbot.194560.13
ArcaVir
Found Trojan.Sdbot.Qt
Avast
Found Win32:SdBot-gen44
AVG Antivirus
Found Generic3.SOU
BitDefender
Found DeepScan:Generic.Malware.FMWX!B.11210FFF
ClamAV
Found Trojan.SdBot-5339
Dr.Web
Found nothing
F-Prot Antivirus
Found Possibly a new variant of W32/Backdoor-based
F-Secure Anti-Virus
Found Backdoor.Win32.SdBot.qt
Fortinet
Found W32/RBot.GHR!worm
Kaspersky Anti-Virus
Found Backdoor.Win32.SdBot.qt
NOD32
Found probably a variant of Win32/Genetik (probable variant)
Norman Virus Control
Found W32/Malware.RLZ
Panda Antivirus
Found W32/Sdbot.KAN.worm
Rising Antivirus
Found nothing
VirusBuster
Found Worm.Akbot.AG
VBA32
Found nothing

5) Service load:
0% 100%
File: svchost.exe
Status:
OK(Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 094f0e779faecb9452ce5cda48e6fedf
Packers detected:
-
Bit9 reports: No Thread detected (more info)

Scan taken on 18 Jun 2007 08:24:31 (GMT)
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
Seitenanfang Seitenende
18.06.2007, 19:57
felix1
Member

Beiträge: 500
#5 Es fehlt noch das Ergebnis von Jotti für: WINNT/system32/svhost.exe
Du hast fälschlicherweise die svchost prüfen lassen.
Hole das mal nach.
Ansonsten, und wenn sich meine Vermutung bzgl. der svhost bestätigen sollten, sieht es nicht gut aus.

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
18.06.2007, 21:53
Music_Finder
...neu hier

Themenstarter

Beiträge: 9
#6 ...ich kann die svhost.exe nicht (mehr) finden, es ist nur die svchost.exe vorhanden. Ich habe C: komplett durchsuchen lassen, kein Ergebniss - Zuvor hatte ich aber den Online-Scanner von Trend Micro (housecall) laufen lassen, evtl. hat der die Datei gelöscht (der PC wurde seither auch schon neu gestartet) ist die Datei irgendwo anders versteckt?
Danke!
Seitenanfang Seitenende
18.06.2007, 23:27
felix1
Member

Beiträge: 500
#7 Versuche das Finden der Datei mal damit:
http://freenet-homepage.de/rene-gad/invisible.html

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
19.06.2007, 16:50
Music_Finder
...neu hier

Themenstarter

Beiträge: 9
#8 nein, schaut so aus, als wäre die Datei weg: ICh habe die svhost.exe jedenfalls nciht mehr finden können...
Seitenanfang Seitenende
22.06.2007, 00:10
felix1
Member

Beiträge: 500
#9 Bei dem Patchstand Deines Systems:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 7:35:15 PM, on 16/06/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
und dem multiblem Befall Deines Systems rate ich Dir zu einer Neuinstallation und dem gleichzeitigen Aufsuchen der MS-Updatesite.

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1