backdoor.win32.SdBot.ada

[porli]

ich glaub ich hab da ein problem mit diesem scheiss virus!

ich ziemlich oft eine meldung von meinen virus proggi das eine sogenannte boot.pif oder winlogon.pif geblockt und gelöscht wurde!

nach ein bisschen herumschaun kommt ma drauf das das der backdoor.win32.SdBot.ada virus is!
nur is die frage... warum hab ich den immer wieder!?

ganz computer scan sagt ich bin sauber!
aba immer wieder popt der scanner auf und schreit!

hab kaspersky mit allen updates
winXP mit allen updates
sitz hinter an router mit NAT firewall

edit:
hab weder winlogon.pif oder boot.pif deryeitig am system!

[porli]

keiner ne ahnung!?

[enjoy2]

http://www.f-secure.de/v-desk/sdbot_ada.shtml

Schreibgeschützte und Systemdateien zeigt dein Explorer an, oder ?

[porli]

ja er zeigt absolut alle dateien an! und immer wieder hab ich die virus meldung! hab jetzt mit antivir und neuester def auch mal an system check durhcführn lassn, ohne ergebnis!

also virenfrei! dann surf ich 3 min und hab die erste meldung!

[enjoy2]

was ich mir noch vorstellen könnte, dass du eine Datei hast, die die beiden genannten immer wieder runterlädt und damit die Virenmeldung erscheint, dass die Dateien im Cache vom Browser noch liegen, bzw. im dllcache zu finden wären.

Zeigt der Virenscanner nicht an, wo die Dateien liegen sollen, bzw. wenn die Meldung erscheint, findest du auch keine Dateien?

[porli]

hmm
es sind ja nicht nur die 2 dateien!
es is auch:

nokiacheck.exe
updates.pif
A0176869.pif

usw..

ich hab noch nicht genau gschaut ob die datei da is wenn der scanner schreit, weil ich sie gleich über den scanner lösch! werd ich aba es nächste mal machen!

hab jetzt alle caches und temp files und so gelöscht und werd mal schaun obs wieda kommt!

[porli]

kommt trotzdem noch!

[ChrisM]

schon mal spydoctore oder adware probiert ??? hatte so ein ähnliches problem.

ChrisM

[fredl]

die nokiachek.exe klingt nach einem wurm: http://de.trendmicro-europe.com/smb/...=WORM_RBOT.CDC
probier einmal einen log mit hijackthis und dann eine aut. auswertung.

[porli]

ok!
adaware is ein paar mal drüber glaufn, hat 3 files gfundn, aba nix hagliches!

und hijack auswertung hab ich gmacht:

Code:

 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Programme\GetRight\xx2gr.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121535270566
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

laut aut auswertung alles ok!
also alles auf SAFE!
hmm eigentlich ein recht sauberes system!