SDBot.MAL und anderes

#0
11.02.2009, 13:04
Member

Beiträge: 28
#1 Hallo Leute,

am Wochenende hatte ich plötzlich einen Bluescreen und es half nichts, außer einer Neuinstallation des Betriebssystems (WinXP-Home). Dann am Montag, ich weiß nicht wie, hatte ich plötzlich 11 Viren/Würmer auf dem Rechner. Da ich irgendwann net mehr weiter wusste, habe ich das System nun ein zweites Mal installiert. Aber wies scheint ohne Erfolg, die Problemkinder loszuwerden.
Deshalb hoffe ich, dass mir hier jemand helfen kann.

Im Anhang auch der Scan von Panda (falls das jemand von euch kennt)!

Ansonsten wie in eurem Thread beschrieben, "alle" notwendigen Logfiles.

Grüße und Danke,
MyHome

---------
Malwarebytes-Log
---------
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1747
Windows 5.1.2600 Service Pack 1

11.02.2009 12:44:12
mbam-log-2009-02-11 (12-44-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42152
Laufzeit: 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
=======

ComboFix-Log: catchme
---------
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-11 12:47:56
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0
=======

hijackthis-Logfile
---------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:06, on 11.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\drivers\NirCmd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
E:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234347599859
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NirSoft Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\NirCmd.exe

--
End of file - 2467 bytes

=======

Die "uninstall_list"-txt.
---------
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Panda ActiveScan 2.0
Realtek High Definition Audio Driver
Update für Windows XP (KB898461)
Windows Installer 3.1 (KB893803)
Windows XP-Hotfix - KB842773

========

Daraus werde ich leider nicht weiter schlau, aber vielleicht ja einer von euch.

Seitenanfang Seitenende
11.02.2009, 13:39
Member

Beiträge: 3716
#2 http://board.protecus.de/t23188.htm
ncoh sombofix. warum nur sp1?
Seitenanfang Seitenende
11.02.2009, 13:43
Member

Themenstarter

Beiträge: 28
#3 Weil ich noch bei der Installation der Treiber etc. gewesen bin, als mein Rechner dann anfing wieder runterzufahren und hängen zu bleiben.
Deshalb habe ich noch kein SP2 installiert.

Was meisnt du mit sombofix? Combofix?

Edit: Bin gerade dabei die Service Packs zu installieren, hoffe das klappt ohne Unterbrechungen ;)
Dieser Beitrag wurde am 11.02.2009 um 14:00 Uhr von MyHome editiert.
Seitenanfang Seitenende
11.02.2009, 14:05
Member

Beiträge: 3716
#4 combofix ja...
oder, befor du lange reinigst formatiere deine festplatte noch mal,
Seitenanfang Seitenende
11.02.2009, 15:26
Member

Themenstarter

Beiträge: 28
#5 Hallo,

habe das System jetzt neu installiert. Diesmal statt mit einer "schnellen" Formatierung der C-Partition mit einer normalen Formatierung.
Hilft trotzdem nichts. Habe mittlerweile 4 mal den Rechner neu gestartet, um diese paar Zeilen zu schreiben.

Board-Treiber (USB und LAN) und Grafiktreiber sind installiert. Noch keine Service Packs etc.

Was nun?
Seitenanfang Seitenende
11.02.2009, 15:42
Member

Beiträge: 3716
#6 kannst du die daten deiner 2 partition irgendwie anders sichern? ich hätte da noch ne idee für ein ordentliches formatieren.
Seitenanfang Seitenende
11.02.2009, 15:47
Member

Themenstarter

Beiträge: 28
#7 Habe eine Externe, die ich für solche Fälle nutzen könnte (wobei ich nicht weiß ob so viel Platz darauf noch frei ist). Allerdings habe ich mehr als nur zwei Partition. Statt Ordnern habe ich alles in Partitionen unterteilt.

Bei Übertragungen an die Externe können aber doch die Viren/Würmer mit übertragen werden, oder nicht?
Seitenanfang Seitenende
11.02.2009, 15:50
Member

Beiträge: 3716
#8 kannst du mir mal als text schreiben, was auf dem bild zu sehen ist, ich kann das net erkennen.
wenn du alles außer ausfürbare dateien also .exe-dateien sicherst passt es dann?
Seitenanfang Seitenende
11.02.2009, 15:57
Member

Themenstarter

Beiträge: 28
#9 Auf dem Bild steht:

BCK/SDBot.MAL = Virus
--> drivers\NirCmd.exe

W32/Conficker... = Virus
--> system32\config\...\WTULE70H\yttfxl[1].bmp
--> system32\config\...\WTULE70H\yidzwoe[1].gif

--> system32\config\...\WTULE70H\wiuhe[1].jpg
--> system32\pzmtf.dll


Ich dachte allein schon durch einen allgemeinen Anschluss und Abruff der Daten auf meiner Externen,, kann ein Virus übertreten? oder nicht? Ansonsten kann ich es ja mal versuchen. Allerdings wird das ganze nicht gerade angenehm, weil es auch 2 Festplatten sind, die jeweils nochmal unterteilt sind. Also eine Menge Stoff. Hälst du das also für die einzige Lösung?
Seitenanfang Seitenende
11.02.2009, 16:00
Member

Beiträge: 3716
#10 hallo, sind die dateien denn jetzt auch ncoh vorhanden? ich möchte mal das du sie prüfst:
http://www.virustotal.com/en/indexf.html
du könntest deine externe ja mal mit malwarebytes scannen.
Seitenanfang Seitenende
11.02.2009, 16:10
Member

Themenstarter

Beiträge: 28
#11 Die Datei

NirCmd.exe

ist auf jedem Fall noch vorhanden, jetzt aber direkt im System32-Ordner zu finden. 36/39 aufgelisteten Programmen sagen hierzu: Virus

Die anderen kann ich grad net... restart.

Edit: die anderen mit [1] im Namen werden über die Windows-Suchfunktion nicht mehr gefunden. Auch der Ordner in dem sie sein sollen, ist nicht mehr vorhanden.

Die beiden untersten Files, die noch mit abgebildet sind, haben über Jahre hinweg nichts verursacht. Aber ich checke sie trotzdem mal.

Auch wenn ich glaube, dass sie nichts verursachen, habe ich sie gelöscht. Teilweise haben Programme drauf angeschlagen.

Die dll-Datei ist auch nicht mehr vorhanden.

Edit: ein weiterer Panda-Scan läuft
Dieser Beitrag wurde am 11.02.2009 um 16:19 Uhr von MyHome editiert.
Seitenanfang Seitenende
11.02.2009, 16:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
11.02.2009, 16:26
Member

Beiträge: 3716
#13 cih möchte dann auch mal, dass du f-secure laufen lässt nicht das panda fehlalarme hat und wir umsonst formatieren
Seitenanfang Seitenende
11.02.2009, 16:38
Member

Themenstarter

Beiträge: 28
#14 Mit f-Secure, meinst du damit:
http://www.f-secure-estore.de/product.php?cnt=esdtrial&id=fso126
?

Hatte und habe Antivir laufen ^^

Der Panda-Scan wurde abgebrochen, aber es waren zumindest schon 5 Files entdeckt. Ich starte nochmal.
Seitenanfang Seitenende
11.02.2009, 16:43
Member

Beiträge: 3716
#15 jap. lass antivir beim scannen aus ist besser. findet antivir eigendlich was?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: