Virus ( Backdoor ) Help plz ...

[Clone]

§$%/&

das Teil heißt Backdoor.Sdbot und hat folgende Datei infiziert:

System32.exe im Windows Systemordner ( C:\Windows\System32\System32.exe )

OS = Windows XP Pro
AntiViren Prog = Norton AntiVirus 2002 mit aktuellen Virendefinitionen

Isolieren / Reparieren schlug fehl, löschen fällt sowieso aus ( da unentbehrliche Systemdatei ).

Auf der Symantec Homepage steht ne ganze Menge zu dem Trojaner aber als Lösungsvorschlag gilt dort die infizierte Datei vom System zu entfernen T_T
Ein Tool zum reparieren der Datei gibt es nicht.

( hier )

Da das nicht geht sehe ich nur die Handbremse format C:\ als Lösung.

Gibt es eventuell eine andere Möglichkeit diesen ( doch ziemlich bösartigen ) Trojaner zu entfernen ohne reinstall ?

Thx 4 Tipps

 

[EnimaN]

boote halt von nem anderen os (startdiskette?) und ersetzt die datei

alternativ kannst du die reperaturkonsole nutzten (boot von winxp cd)


ich würde letzteres nehmen

 

[killerchicken_inaktiv]

lies erstmal das hier: http://www.europe.f-secure.com/v-descs/trojpac.shtml

system32.exe ist schwachsinn, sone datei braucht windows normalerweise gar nicht...

 

[Forst]

eben das killerhuhn hat recht, isn toller fake name...

delete now!

 

[killerchicken_inaktiv]

Original geschrieben von (BHC)-HSFORST-
eben das killerhuhn hat recht, isn toller fake name...

delete now!

das killerhuhn hat immer recht... *gähn*

 

[Clone]

Norton AntiVirus kann die Datei aber selbstständig nicht löschen

soll ich die per Hand löschen ? oder verarscht man mich hier ?

I mean System32.exe klingt irgendwie wichtig -_°
Versteht mich bitte nicht falsch... ich habe schon immer großes Vertrauen in eure Kompetenz gelegt und wurde bis dato noch nicht enttäuscht ...

thx 4 hlp schonma

edit:

sry hatte den Text noch nich gelesen der Wurm ( obwohl es sich in meinem Fall um einen anderen handelt ) erstellt die file also selbstständig und schützt sich gegen Löschversuche !?

also delete per DOS Konsole ?

 

[EnimaN]

naja man kann im windows keine programme löschen, die gerade laufen, ergo gehst du in den taskmanager und schiesst alle prozesse mit dem namen "system32.exe" ab (rechtsklick -> prozess beenden) dann kannste die datei auch von norton antivirus bearbeiten lassen... vergiss auch nicht die regkeys zu löschen wies in der norten seite beschrieben wurde...

 

[Clone]

Original geschrieben von EnimaN
vergiss auch nicht die regkeys zu löschen

hab ich schon versucht ... nur waren da nicht genau diese Keys ... ich hab irgendwie das gefühl der trojaner hat keine große lust atm ^_^

in meiner reg hab ich zwar diesen schlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

aber nicht den anderen ( RunServices )

und in dem Run steht nix von Cnfgldr.exe oder Sysmon16.exe

k ich werds ma versuchen mit dem löschen

 

[Clone]

das mag zwar unbedeutend sein, da das system trotzdem funzt ... aber wie bekomm ich das weg ? ^_-

 

[killerchicken_inaktiv]

das kam nach einem neustart, oder?

 

[Clone]

ja

 

[killerchicken_inaktiv]

ok, dann gibt mal genau diesen pfad in den regedit ein (ich meine such danach) und lösch alle schlüssel, die du findest

 

[Clone]

alle ???????

sind nämlich ne ganze menge, nämlich 31 um genau zu sein ...

darunter dinger wie

- PowerDownAfterShutdown
- System
- Shell

usw ...

 

[killerchicken_inaktiv]

ups. hm ^^

guck mal, ob einer unter einem run-schlüssel steht. den auf jeden fall deleten... poste die anderen mal

 

[Clone]

kommt sofort chef

 

[killerchicken_inaktiv]

hm... ich meinte jetzt mehr unter welchen schlüsseln das steht... also brauch ich die linke seite auch noch ... sry

 

[Clone]

Hum von der linken Seite nen Screenshot zu posten iss schwierig ^^ da die ziemlich lang ist ...

aber hier die Schlüssel:

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

 

[killerchicken_inaktiv]

sry dass das erst jetzt kommt. http://cgi.f-secure.com/cgi-bin/search.cgi?q=system32.exe&search.x=0&search.y=0

arbeite mal alle einträge da durch, einer sollte der virus sein. ich geh dir liste von hinten durch, du von vorne. wer als erster was findet postet hier, ok?

 

[Clone]

kk

 

[killerchicken_inaktiv]

http://www.europe.f-secure.com/v-descs/elkern.shtml
das hier könnte was sein...

 

[Clone]

Hm also Viren hab ich aber keine mehr ... da wären also nur noch die alten REG Einträge

bringt es ggf. etwas RegScan o.Ä laufen zu lassen um die Registry zu entrümpeln ? könnten da die Fehlerhaften Einträge nich automatisch entfernt werden ?

 

[killerchicken_inaktiv]

das kann sein! gute idee

 

[Clone]

Hab hier grad ma Microsoft's RegClean am scannen

...

so reboot ma gucken was sich so ergibt brb ^^

edit:

kk da bin ich wieder -_- die Fehlermeldung kommt immernoch ...

aber es muss an einem RegKey liegen, da die System32.exe ( hab grad auf nem anderen WinXP Rechner nachgeguckt ) keine Windows Datei ist ... irgendwo muss der Key der zu dieser Fehlermeldung führt liegen -.°

 

[killerchicken_inaktiv]

sry, das wird mir zu spät hier... bis morgen

 

[Clone]

Huhu Killerchicken :wave:

hab aber immer noch die dumme Fehlermeldung

und ich finde den ver****ten Reg-Key nicht

 

[Cazzo]

Schonmal in der guten alten win.ini nachgeschaut ?

Da war nämlich der virenlink versteckt, als ich vor 4 Jahren meinen ersten und einzigen Virus hatte (w98 allerdings).

 

[Clone]

k ich guck ma

hm erreicht ma die Win.ini über

Start -> Ausführen -> msconfig -> Win.ini

oder lieber über den Editor
bzw wie outed sich darin ein potentieller virus ?

 

[Cazzo]

Egal. Im Editor öffnen, nach einem system32.exe Eintrag suchen, falls vorhanden, löschen etc.

 

[killerchicken_inaktiv]

such einfach mal nach dateien, die system32.exe enthalten. dann schau dir an was da drinsteht...

 

[Clone]

unter anderem fand ich das hier ...

dazu noch eine datei namens FrameWork.txt @ C:\WINDOWS\system32\wbem\Logs