WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Problem mit einem Keylogger & Backdoor:Win32/Sdbot.gen (http://www.wcm.at/forum/showthread.php?t=175480)

{WcM}PioXx 06.10.2005 09:31
Problem mit einem Keylogger & Backdoor:Win32/Sdbot.gen
 
Hallo, ich hoffe jemand kann mir bei meinem Problem helfen.
Wie ich per Zufall bemerkt habe, habe ich mir einen Keylogger eingefahren, dieser erstellt ein Textfile im WINNT/System32 Ordner mit dem Namen keylog.txt! Ich hab bereits Ad-Aware, Spybot Search & Destroy und McAfee drüberlaufen lassen, sowohl im normalen als auch im abgesicherten Modus. Ich hab aber keine "Bedrohung" bzw. keinen Virus angezeigt bekommen.

Verzweifelt wie ich nun bin mittlerweile hab ich das Tool von Microsoft benutzt zum auffinden bösartiger Software. Dort wird mir angezeigt einen Backdoor:Win32/Sdbot.gen eingefahren habe, dieser wird erkannt jedoch kann dieses Tool den Wurm nicht löschen. ALlerdings wurde mir ein Link gegeben zu einem Removal Tool von Microsoft. Dieses hat erneut den PC gescannt und meinte alles sein in Ordnung.

Ich werde in der Zwischenzeit halt weiter versuchen den Mist zu entfernen, falls aber jemand nen Rat auf Lager hat, ich wäre sehr dankbar!

mfg,
PioXx

holzi 06.10.2005 09:49
lass mal hijackthis drüberlaufen und lass das logfile auswerten.

hier noch ein allgemeiner link zur spyware:
http://www.wintotal.de/Spyware/index.php?Filter=N

{WcM}PioXx 06.10.2005 09:54
Logfile of HijackThis v1.99.1
Scan saved at 08:52:55, on 06.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\system32\msngsr.exe
C:\Programme\D-Tools\daemon.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\msngsr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PioXx\Desktop\hijackthis\HijackThis. exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Windows Explorer Inc] msngsr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [Windows Explorer Inc] msngsr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Explorer Inc] msngsr.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128030719406
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

holzi 06.10.2005 09:59
hijackthis, kannst du hier auswerten: http://www.hijackthis.de/
scheint aber nix besonders auffälliges zu sein.

hier verschiedene online-scanner, der von panda zb. kann auch entfernen
http://nikita.eddys-domain.de/onlinescan.html

{WcM}PioXx 06.10.2005 10:08
Hupps, wusst ich ned :)
Danke erstmal für die Hilfe, holzi!

{WcM}PioXx 06.10.2005 11:04
Habe auf HijackThis das Log auswerten lassen, alle gelben Files auf Viren gescanned, auch über die HijackThis Seite, welche sogar gleich bei 3 Scannern prüft, jedoch auch keinen Erfolg gehabt. :(

Dann habe ich ein Tool gefunden, eScan Antivirus Toolkit welches in der kostenlosen Version die Viren nicht löscht aber anzeigt. Ich hab die Viren dann relativ problemlos manuell entfernen können, der Keylogger ist mittlerweile nun auch Geschichte :)

Der Wurm war in diesen Prozessen versteckt:
C:\WINNT\system32\msngsr.exe
C:\WINNT\system32\msngsr.exe

Eigentlich hätte ich selber drauf kommen müssen, ich benutze normal den MSN Messenger und die Prozessnamen sind sehr ähnlich, daher ist mir das auf den ersten Blick nicht aufgefallen.

holzi 06.10.2005 11:16
sehr schön :)
aber ist er auch nach einem reboot weg?

{WcM}PioXx 06.10.2005 17:07
Ja, ist er.

maxb 08.10.2005 00:20
O4 - HKLM\..\Run: [Windows Explorer Inc] msngsr.exe


Windows Explorer Inc :hehe:


Alle Zeitangaben in WEZ +2. Es ist jetzt 22:38 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag