WORM/SdBot.401408.19 ; HTML/Infected.WebPage.Gen

#0
05.06.2008, 15:22
...neu hier

Beiträge: 2
#1 Hallo zusammen ;)

Alle paar Wochen, wenn ich in der Heimat bin, setze ich mich an den Rechner meiner Mutter und kontrollier ihn was so alles an Müll angefallen ist. Ich lösche dann Sachen die sie nicht mehr braucht, lasse diverse Tools von RegCleaner über Spybot bis hin zu CCleaner drüber laufen. 2 Jahre lang gab es nie Probleme, bis sie das Internet für sich entdeckt hat. Gestern setz ich mich an den Rechner, mach das Internet an und klick auf das Internet Explorer Icon und mir wird gesagt das der IE nicht gefunden werden kann. Kein Problem - Ich hab den Slim Browser als Ersatz. Wenn ich den IE nicht wieder krieg, kann ich damit leben. Alles wozu der IE von nöten ist, kann ich auch den Slim Browser benutzen. Den Rest mache ich eh mit dem FF in der Zeit hier. Dann wollte ich eine veraltete Version von Ad Aware deinstallieren und mir wird folgende Fehlermeldung angezeigt: Auf den Windows Installer Dienst kann nicht zugegriffen werden. Dies kann auftreten wenn Windows im abgesicherten Modus ausgeführt wird oder wenn der Windows Installer nicht richtig installiert wurde. Ich hatte gestern schon versucht eine neue Version des Internet Explorers zu installieren, mit der gleichen Fehlermeldung. Ich wollte den Opera Browser installieren und bekam ebenfalls die selbe Meldung. Der Rechner ist wesentlich langsamer wie vorher. Hinzu kommt in unregelmäßigen Abständen ein Fehlerfenster mit der Meldung das der Befehl services.exe den Rechner herunter fahren lässt. Das kann ich nicht abbrechen und innerhalb von einer Minute fährt der Rechner dann runter und startet neu. Der Windows Media Player funktioniert nicht mehr und alle Dateizuordnungen (.mp3 .jpg .avi usw. usf.) sind ebenfalls nicht mehr vorhanden. Ich hab dann Hijackthis drüber laufen lassen und er hat 2 Viren gefunden die ich aber selber beseitigen konnte. Auf der Suche nach den Viren bin ich auf das Forum hier gestoßen und konnte dank Sabinas Anleitung die beiden Viren beseitigen. Danke dafür. Ich hab aber noch zwei weitere Schädlinge auf dem Rechner die ich nicht weg krieg:

C:\WINNT\dllcache\wintcps.exe | WORM/SdBot.401408.19

C:\Programme\Mozilla Firefox\res\hiddenWindow.html | HTML/Infected.WebPage.Gen

Ich krieg sie nicht runter vom Rechner. Ich hab von sowas auch leider gar keine Ahnung weil ich noch nie Probleme mit Viren, Trojanern und Würmern hatte. Ich kann nicht mal sagen wo da der Unterschied ist. Im Hijackthis log tauchen die nicht auf, wenn ich den Avira AntiVir an hab. Wenn ich dann einen Scan mit Hijackthis mache, meldet sich das Anti Virus Tool und es funktioniert weder löschen, Quarantäne oder verschieben oder umbenennen. Die Schädlinge tauchen auch nicht auf, wenn ich den Avira AntiVir aus hab. Es wird dann logischerweise gar keine Fehlermeldung angezeigt. Folgend der letzte aktuelle Hijackthis Log. Ich bitte um eure Hilfe und bedanke mich schon mal für alle konstruktiven Beiträge.

Der Rechner ist ein PII 266Mhz mit 168 MB Ram einer 32 MB Grafikkarte und einer 10 GB Systemplatte (C) und einer 80 GB Datenplatte (D). Ein miserabler Rechner, aber für die Bedürfnisse meiner Mutter ausreichend. Ich hab ihn einst aus alten Teilen selber zusammen gebaut.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:01, on 05.06.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\msmsgs.exe
C:\WINNT\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\spoolm.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Oftice] C:\WINNT\system32\msmsgs.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINNT\TEMP\E_S182.tmp" /EF "HKCU"
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Oftice] C:\WINNT\system32\msmsgs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Driver] C:\WINNT\rundll32.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7EC8FE0-6DFF-4968-8AFB-924CF945B93E}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\system32\scvhost.exe (file missing)

--
End of file - 4233 bytes

Folgend eine Erklärung der rot gefärbten Funde:

MSIE: Unable to get Internet Explorer version! : Es wird die Datei iexplore.exe vermisst.

C:\WINNT\rundll32.exe : Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.

C:\WINNT\system32\spoolm.exe : Dies ist ein unbekannter Prozess.

O4 - HKUS\.DEFAULT\..\Run: [Microsoft Oftice] C:\WINNT\system32\msmsgs.exe (User 'Default user') : Schädlich (2.97 / 5.00)

O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Driver] C:\WINNT\rundll32.exe (User 'Default user') : Unbedingt fixen! Added by the W32/WHIPSER-B WORM! - NOTE: This particular rundll32.exe file is placed in the Windows\System folder, wheras the legitimate Windows file of the same name is located in the Windows folder on Win 98 or ME systems, and in Winnt\System32 or Windows\System32 in Windows 2000 or XP

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\system32\scvhost.exe (file missing) : Dieser Dienst (scvhost.exe) scheint schädlich zu sein.

Beachtet bitte, das ich mich mit sowas gar nicht auskenne also bitte ich um eine Laiengerechte Erklärung wie ich diesen Teufeln das Leben aushauchen kann.

Lg
Seitenanfang Seitenende
05.06.2008, 15:39
Moderator

Beiträge: 7805
#2 Da ist wohl nicht mehr viel zu retten, da total durchseucht!;)

Du kannst spasseshalber folgendes bei Virustotal pruefen lassen und die Ergebnisse hier posten:

C:\WINNT\system32\msmsgs.exe
C:\WINNT\rundll32.exe
C:\WINNT\system32\spoolm.exe

Sprich du solltest deinen Rechner neu aufsetzen und entsprechend absichern, bevor du das erste Mal online gehst. Entweder durch eine Desktopfirewall wie Zonealarm(irgendwas einfaches halt) oder mit dingens.org entsprecend anfaellige dienste deaktivieren: http://www.dingens.org/

Wenn du einigermassen fitt bist, waere online armor eine interessante Wahl, anstatt zonealarm: http://www.tallemu.com/free-firewall-protection-software.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.06.2008, 16:00
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Ralf,

danke für die schnelle Antwort. Hier nun die Scanergebnisse ;)

C:\WINNT\system32\msmsgs.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.05 Worm/IrcBot.41770.2
Authentium 5.1.0.4 2008.06.05 W32/Backdoor2.BBZM
Avast 4.8.1195.0 2008.06.05 -
AVG 7.5.0.516 2008.06.05 BackDoor.Ircbot.ECV
BitDefender 7.2 2008.06.05 Backdoor.IRCBot.ABXB
CAT-QuickHeal 9.50 2008.06.05 Backdoor.IRCBot.ctg
ClamAV 0.92.1 2008.06.05 Trojan.IRCBot-2376
DrWeb 4.44.0.09170 2008.06.05 BackDoor.IRC.Sdbot.2249
eSafe 7.0.15.0 2008.06.04 Win32.IRCBot.ctg
eTrust-Vet 31.6.5850 2008.06.05 -
Ewido 4.0 2008.06.05 Backdoor.IRCBot.ctg
F-Prot 4.4.4.56 2008.06.05 W32/Backdoor2.BBZM
F-Secure 6.70.13260.0 2008.06.05 Backdoor.Win32.IRCBot.ctg
Fortinet 3.14.0.0 2008.06.05 W32/IRCBot.CTG!tr.bdr
GData 2.0.7306.1023 2008.06.05 Backdoor.Win32.IRCBot.ctg
Ikarus T3.1.1.26.0 2008.06.05 Backdoor.Win32.IRCBot.ctg
Kaspersky 7.0.0.125 2008.06.05 Backdoor.Win32.IRCBot.ctg
McAfee 5310 2008.06.04 W32/Sdbot.worm
Microsoft 1.3604 2008.06.05 VirTool:Win32/CeeInject.gen!F
NOD32v2 3161 2008.06.05 -
Norman 5.80.02 2008.06.04 W32/Ircbot.ACQA
Panda 9.0.0.4 2008.06.05 W32/Gaobot.OXI.worm
Prevx1 V2 2008.06.05 Malicious Software
Rising 20.47.32.00 2008.06.05 Backdoor.Win32.IRCbot.ckz
Sophos 4.30.0 2008.06.05 Troj/IRCBot-ABN
Sunbelt 3.0.1145.1 2008.06.05 Backdoor.IRCBot
Symantec 10 2008.06.05 W32.Spybot.Worm
TheHacker 6.2.92.335 2008.06.05 Backdoor/IRCBot.ctg
VBA32 3.12.6.7 2008.06.05 Backdoor.Win32.IRCBot.ctg
VirusBuster 4.3.26:9 2008.06.04 Backdoor.IRCBot.XGI
Webwasher-Gateway 6.6.2 2008.06.05 Worm.IrcBot.41770.2
weitere Informationen
File size: 41770 bytes
MD5...: a889a2e17f57a8ace0337975cfb7256a
SHA1..: 96a0d0c61dfdac4f5953fcea4d44af179203d763
SHA256: e2d24dae84cc86de14459c1954d6a2c8ca9f8f165cc9be2d5f9a598776ad419a
SHA512: 33ab09e7030f996513faaacfebcce00ae4900a40047c248bceb482d1b6fbd6a3
e6d1f9b9d79ee1cdedd872189b3cd5527559b1b52bdecc230fe456a1375cd3f8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e0c
timedatestamp.....: 0x481ec1df (Mon May 05 08:14:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4fa1 0x5000 6.61 5e62d038efdc13e306b56f890cc53599
.rdata 0x6000 0x1392 0x1400 4.74 eddc13448c9f2019b881f8f49d7f9566
.data 0x8000 0x37b00 0x400 2.23 b77478f524176fd91ea33b7fb227f897

( 2 imports )
> KERNEL32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, VirtualQueryEx, ReadProcessMemory, GetThreadContext, CreateProcessA, GetModuleHandleA, VirtualProtectEx, VirtualAllocEx, ResumeThread, ReadFile, GetFileSize, CreateFileA, SetFileAttributesA, GetModuleFileNameA, HeapAlloc, GetStartupInfoA, GetCommandLineA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, ExitProcess, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetACP, GetOEMCP, GetCPInfo, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo
> USER32.dll: MessageBoxA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0B8AFCF22AC564E6A30300A5C2AEB9001FBEF6F1

C:\WINNT\rundll32.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.05 Worm/IrcBot.42794
Authentium 5.1.0.4 2008.06.05 W32/Rbot.A.gen!Eldorado
Avast 4.8.1195.0 2008.06.05 -
AVG 7.5.0.516 2008.06.05 BackDoor.Ircbot.ECC
BitDefender 7.2 2008.06.05 Backdoor.SDBot.DFPH
CAT-QuickHeal 9.50 2008.06.05 Backdoor.IRCBot.crd
ClamAV 0.92.1 2008.06.05 Trojan.IRCBot-2192
DrWeb 4.44.0.09170 2008.06.05 Trojan.Inject.3417
eSafe 7.0.15.0 2008.06.04 Win32.IRCBot.crd
eTrust-Vet 31.6.5850 2008.06.05 -
Ewido 4.0 2008.06.05 Backdoor.IRCBot.csl
F-Prot 4.4.4.56 2008.06.05 W32/Rbot.A.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.05 Backdoor.Win32.IRCBot.crd
Fortinet 3.14.0.0 2008.06.05 W32/IRCBot.CRD!tr.bdr
GData 2.0.7306.1023 2008.06.05 Backdoor.Win32.IRCBot.crd
Ikarus T3.1.1.26.0 2008.06.05 Backdoor.IRCBot.ABWX
Kaspersky 7.0.0.125 2008.06.05 Backdoor.Win32.IRCBot.crd
McAfee 5310 2008.06.04 W32/Sdbot.worm
Microsoft 1.3604 2008.06.05 VirTool:Win32/CeeInject.gen!E
NOD32v2 3161 2008.06.05 -
Norman 5.80.02 2008.06.05 W32/Ircbot.ADLU
Panda 9.0.0.4 2008.06.05 W32/Gaobot.OXI.worm
Prevx1 V2 2008.06.05 Spyware
Rising 20.47.32.00 2008.06.05 -
Sophos 4.30.0 2008.06.05 Mal/EncPk-DL
Sunbelt 3.0.1145.1 2008.06.05 Backdoor.Mailbot
Symantec 10 2008.06.05 Trojan.StartPage
TheHacker 6.2.92.335 2008.06.05 Backdoor/IRCBot.crd
VBA32 3.12.6.7 2008.06.05 Backdoor.Win32.IRCBot.crd
VirusBuster 4.3.26:9 2008.06.04 Trojan.DR.IRCBot.Gen.2
Webwasher-Gateway 6.6.2 2008.06.05 Worm.IrcBot.42794
weitere Informationen
File size: 45208 bytes
MD5...: fa16133ace5d01e1635fd49a18e51060
SHA1..: 9b6654aa1d439ccd89517ac3d1842decefac93da
SHA256: d4eb7204aaa15062d9d9ceb5e9dba1485845c6e10bcec412dcccce1d861067cc
SHA512: 82283a00cd09be2a5fcc9f6e7f16d998d8ad08f703f4317f5ca67b117afec471
f59559eae931a870ca27406e7fba94f254e7aba485832c7fa6b67a37eb2b28bf
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e9f
timedatestamp.....: 0x480c99c0 (Mon Apr 21 13:42:24 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4fdd 0x5000 6.61 258ef60af6b9d671c326651fa57403be
.rdata 0x6000 0x176c 0x1800 4.93 f3723ffef4add969dd779f34d24a0150
.data 0x8000 0x391e0 0x400 2.20 c09befd3122208518ddb770bbb2745a8

( 3 imports )
> KERNEL32.dll: LoadLibraryA, VirtualQueryEx, ReadProcessMemory, GetThreadContext, CreateProcessA, GetModuleHandleA, VirtualProtectEx, VirtualAllocEx, ResumeThread, ReadFile, GetFileSize, CreateFileA, lstrcmpA, SetFileAttributesA, GetModuleFileNameA, HeapAlloc, GetStartupInfoA, GetCommandLineA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, ExitProcess, TerminateProcess, GetCurrentProcess, WriteFile, GetProcAddress, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetACP, GetOEMCP, GetCPInfo, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo, GetStdHandle, FreeLibrary
> USER32.dll: MessageBoxA
> ADVAPI32.dll: GetUserNameA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FAAF72A7981A9586B09400373ED369001EE6FB70

C:\WINNT\system32\spoolm.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.05 HEUR/Crypted
Authentium 5.1.0.4 2008.06.05 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.06.05 -
AVG 7.5.0.516 2008.06.05 SHeur.AVQX
BitDefender 7.2 2008.06.05 DeepScan:Generic.Malware.FWX!Bg.842C28A7
CAT-QuickHeal 9.50 2008.06.05 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.05 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.06.05 -
eSafe 7.0.15.0 2008.06.04 -
eTrust-Vet 31.6.5850 2008.06.05 -
Ewido 4.0 2008.06.05 -
F-Prot 4.4.4.56 2008.06.05 W32/Heuristic-THX!Eldorado
F-Secure 6.70.13260.0 2008.06.05 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.06.05 -
GData 2.0.7306.1023 2008.06.05 -
Ikarus T3.1.1.26.0 2008.06.05 Generic.Sdbot
Kaspersky 7.0.0.125 2008.06.05 -
McAfee 5310 2008.06.04 W32/Sdbot.worm
Microsoft 1.3604 2008.06.05 -
NOD32v2 3161 2008.06.05 Win32/IRCBot.AFJ
Norman 5.80.02 2008.06.05 -
Panda 9.0.0.4 2008.06.05 -
Prevx1 V2 2008.06.05 Malicious Software
Rising 20.47.32.00 2008.06.05 Backdoor.Win32.SdBot.qsz
Sophos 4.30.0 2008.06.05 Sus/ComPack
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.05 W32.Spybot.Worm
TheHacker 6.2.92.335 2008.06.05 -
VBA32 3.12.6.7 2008.06.05 -
VirusBuster 4.3.26:9 2008.06.04 Packed/Themida
Webwasher-Gateway 6.6.2 2008.06.05 Heuristic.Crypted
weitere Informationen
File size: 926720 bytes
MD5...: 47de53f8778b4ba4b7c799e0d657fc67
SHA1..: a87a95dbab8cd118b5c41ce496298343c67b56c6
SHA256: 31b96b5cd8cc00ccb86929d7559147de3bd2a09eed012928e608c9ccea38f2aa
SHA512: 11bf5f34af160064f07fbdd81d24de7e1bef225ce65421a04ad45081c883d478
596325ee98c8ebe0612804fcc4a2d37bbc0e5e425325da7cf66338f385c0ca3e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x457014
timedatestamp.....: 0x47c4655f (Tue Feb 26 19:15:43 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x54000 0x5e00 7.94 4e0035bbd29df7bdbeb6944fbbb5ea12
.rsrc 0x55000 0x478 0x400 4.43 a1ff216803a1355fd16ab3aea33ef242
.idata 0x56000 0x1000 0x200 1.44 120b85a92cde76cc78552446a05bb2ed
spm 0x57000 0xe2000 0xdb000 4.19 757f49dd6b4224267d2aff7d9ba8a663

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8E5D124D0092EBFF24E00E1886309000FE4C02A8
packers (F-Prot): Themida
packers (Authentium): Themida

Einen Rat was man da noch machen kann?
Seitenanfang Seitenende
05.06.2008, 16:05
Moderator

Beiträge: 7805
#4 Wie oben beschrieben:
Sprich du solltest deinen Rechner neu aufsetzen und entsprechend absichern, bevor du das erste Mal online gehst. Entweder durch eine Desktopfirewall wie Zonealarm(irgendwas einfaches halt) oder mit dingens.org entsprecend anfaellige dienste deaktivieren: http://www.dingens.org/

Wenn du einigermassen fitt bist, waere online armor eine interessante Wahl, anstatt zonealarm: http://www.tallemu.com/free-firewall-protection-software.html

Anleitungen zum Neu aufsetzen gibts satt. Z.B. hier

http://board.protecus.de/t13020.htm
oder
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende