Backdoor entfernen

grizzly · 12.06.2004, 08:53

Habe da einen Rechner, der mit dem Backdoor.SDBOT.Gen befallen ist. Habe übereilt die Datei wuamgrd.exe gelöscht in Windows/System32.
Jetzt stelle ich mir die Frage, ob das nicht eine Datei von Windows war in die sich der Wurm eingenistet hat.
Ich hatte die Kiste vor obigem Virenbefall aufgesetzt und damals Antivir installiert. Als ich die Kiste bei den Leuten aufstellte hatten sie nur einen analogen Zugang bei Telering und nur so eine Installationscd. Mir haben sich damals eh alle Haare gesträubt, diese CD zu verwenden, weil man durch diese "komische" Einwahlsoftware nirgens Zugriff auf die Eigenschaften der Verbindung hatte. Ergo weiß ich daher auch nicht, ob die XP-eigene Firewall aktiv gesetzt war.

Am besten wird wohl sein, ich setze das System neu auf? Oder ist wer anderer Meinung?
Antivir kommt nicht mehr drauf sondern Mc.Affee. Firewall weiß ich nicht, soll ich die XP-eigene verwenden (bin mittlerweile draufgekommen, wie man den Telering Zugang händisch installiert - war eh ein *.pdf auf der Installationscd

). Zur Firewall, habt ihr Tips?

Automatische Entfernung gibt's wohl nicht für diesen Backdoor?

sprunzer · 12.06.2004, 09:49

http://www.sophos.de/virusinfo/analyses/w32sdbotgt.html

grizzly · 12.06.2004, 10:06

Der Virus heißt aber Backdoor.SDBOT.Gen und nicht ....GT

grizzly · 12.06.2004, 10:24

Also, um das nocheinmal zu erklären. Habe der Wurm mit einer Trialversion von Norton gefunden und er wurde als "Backdoor.SDBOT.Gen" ausgewiesen, bei Symantec finde ich folgende Anleitung:
http://securityresponse.symantec.com...r.sdbot.s.html
unter obigem Link steht aber nichts von einer Datei namens "wuarmgrd.exe" sondern "ntspcv.exe"

Drauf war nämlich eine Datei namens "wuarmgrd.exe", hier habe ich auch eine Anleitung gefunden, wie man diesen entfernt und die Registry bearbeitet:
http://www.sophos.de/virusinfo/analyses/w32rbota.html
oder haben die gleich mehrere Würmer

Bin leider gerade nicht bei dem PC.
Was mich noch ein wenig irritiert, manche Virenschutzhersteller schreiben, man soll nach dem entfernen der Datei den PC abgesichert starten, in manchen Anleitungen steht das aber nicht

_m3 · 12.06.2004, 11:38

Formatieren und neu aufsetzen.

12.06.2004, 08:53	#1
grizzly Inventar Registriert seit: 27.03.2000 Ort: Böhmische Masse Beiträge: 4.242 Mein Computer	Backdoor entfernen Habe da einen Rechner, der mit dem Backdoor.SDBOT.Gen befallen ist. Habe übereilt die Datei wuamgrd.exe gelöscht in Windows/System32. Jetzt stelle ich mir die Frage, ob das nicht eine Datei von Windows war in die sich der Wurm eingenistet hat. Ich hatte die Kiste vor obigem Virenbefall aufgesetzt und damals Antivir installiert. Als ich die Kiste bei den Leuten aufstellte hatten sie nur einen analogen Zugang bei Telering und nur so eine Installationscd. Mir haben sich damals eh alle Haare gesträubt, diese CD zu verwenden, weil man durch diese "komische" Einwahlsoftware nirgens Zugriff auf die Eigenschaften der Verbindung hatte. Ergo weiß ich daher auch nicht, ob die XP-eigene Firewall aktiv gesetzt war. Am besten wird wohl sein, ich setze das System neu auf? Oder ist wer anderer Meinung? Antivir kommt nicht mehr drauf sondern Mc.Affee. Firewall weiß ich nicht, soll ich die XP-eigene verwenden (bin mittlerweile draufgekommen, wie man den Telering Zugang händisch installiert - war eh ein *.pdf auf der Installationscd ). Zur Firewall, habt ihr Tips? Automatische Entfernung gibt's wohl nicht für diesen Backdoor? ____________________________________ http://geh.heim.at/lampe.jpg

12.06.2004, 10:06	#3
grizzly Inventar Registriert seit: 27.03.2000 Ort: Böhmische Masse Beiträge: 4.242 Mein Computer	Der Virus heißt aber Backdoor.SDBOT.Gen und nicht ....GT ____________________________________ http://geh.heim.at/lampe.jpg

12.06.2004, 10:24	#4
grizzly Inventar Registriert seit: 27.03.2000 Ort: Böhmische Masse Beiträge: 4.242 Mein Computer	Also, um das nocheinmal zu erklären. Habe der Wurm mit einer Trialversion von Norton gefunden und er wurde als "Backdoor.SDBOT.Gen" ausgewiesen, bei Symantec finde ich folgende Anleitung: http://securityresponse.symantec.com...r.sdbot.s.html unter obigem Link steht aber nichts von einer Datei namens "wuarmgrd.exe" sondern "ntspcv.exe" Drauf war nämlich eine Datei namens "wuarmgrd.exe", hier habe ich auch eine Anleitung gefunden, wie man diesen entfernt und die Registry bearbeitet: http://www.sophos.de/virusinfo/analyses/w32rbota.html oder haben die gleich mehrere Würmer Bin leider gerade nicht bei dem PC. Was mich noch ein wenig irritiert, manche Virenschutzhersteller schreiben, man soll nach dem entfernen der Datei den PC abgesichert starten, in manchen Anleitungen steht das aber nicht ____________________________________ http://geh.heim.at/lampe.jpg

12.06.2004, 11:38	#5
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Formatieren und neu aufsetzen. ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

12.06.2004, 09:49	#2
sprunzer gesperrt Registriert seit: 09.06.2004 Beiträge: 19	http://www.sophos.de/virusinfo/analyses/w32sdbotgt.html

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)