hallo,

ich weiß, daß dieses Thema hier bestimmt schon behandelt wurde, dennoch möchte ich an dieser Stelle noch einmal ganz konkrete Fragen stellen.

Ich selbst bin immer im Internet und habe nie Viren oder Trojaner. Ich habe meinen Rechner "nur" mit zonealarm gesichert und lasse ganz selten einmal antivir und pestpatrol drüber.

Bei anderen Leuten, welchen ich hin und wieder helfen muss sieht dies ganz anders aus.
So habe ich die letzten Tage ein Problem am Telefon zu bewältigen. In einem Anruf wurde mir erzählt von einem Rechner der immer wieder herunterfährt, oft ohne dass ein Programm läuft voll ausgelastet ist (CPU 100%) und auch sonst "spinnt". Er war stets mit Zonealarm gesichert. Ich hab mir dann die laufenden Prozesse durchgeben lassen und was in run eingetragen ist. Es lief zwar so einiges was wir beendet haben und aus dem Autostart warfen - nur bei einer Sache war ich nicht sicher.
Ein Prozess "defragfat32.exe" kam mir seltsam vor. Ich empfahl Antivir und Pestpatrol laufen zu lassen und sah selbst im Internet nach. Da Antivir und Pestpatrol nichts brachten und ich mir nun klar war, daß dies dennoch ein Schädling war empfahl ich diese Datei im system32 zu löschen und in der Registrie zu suchen. Hier wurden wir nicht fündig. Beim nächsten Hochfahren war defrag32.exe wieder im Autostart und wieder im system32. (Systemwiederherstellung ist deaktiviert).

Da das System auch sonst vesifft war beschlossen wir es vollständig neu zu machen. Alle Partitionen wurden gelöscht, neu erstellt und ein neues XP (SP1)installiert (und alle neuen XP Updates) . Sofort wurde Zonearlarm draufgemacht (Aktive X deaktiviert) und XPantispy. Erst dann machten wir ein DFÜ für die Flat. Statt des IE namen wir Firefox.

Und jetzt kommt der Hammer:

Kaum im Internet begann der Rechner zu spinnen und fuhr herunter. Neu gestartet fand sich in den Prozessen ein "defragfatx.exe" und ebenso in (msconfig) Autostart und System32.

Nun die Preisfrage: Woher kommt dieser Übeltäter (es war ja sonst gar nichts mehr auf dem Rechner und der Firewall stand auf hoch) und wie bekommt man ihn entgültig weg (Antivir und Pestpatrol helfen ja nicht) und vor allem auch wenn man ihn wegbekommt wie kann man verhindern daß er gleich wieder da ist???

Wir werden jetzt wohl auch einmal HijackThis machen, aber auch das nutzt nur was wenn man sich das Teil nicht zehn Minuten später wieder holt!

Wer hat ähnliche Erfahrungen, wer hat ne Lösung?

Danke

@tar
dein problem
http://www.sophos.de/virusinfo/analyses/w32sdbotss.html
setze das system neuauf, format c
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

chaosman

hallo

das ist ja das Problem, genau das haben wir ja gemacht, das "System neu aufgesetzt"

es wurde neben C sogar alle anderen Partitionen vollständig gelöscht (damit ganz sicher alles weg ist) und neu erstellt dann formatiert und dann ein "jungfräuliches" XP draufgemacht. Nur XP Antispy und Zonealarm installiert und schon war es wieder da.Was soll es also nützen das jetzt sofort nocheinmal zu machen, wenn ich nicht weiß woher es kommt. (Trotz hochgestelltem Firewall. deaktiviertem AktiveX und null installierten Programmen, Tools und keine besuchte Internetseiten.)
Weiß niemand wie dieser Schädling übertragen wird und was man machen kann um es zu verhindern.

http://www.sophos.de/virusinfo/analyses/w32sdbotss.html

was hat W32/Sdbot-SS mit unserem Problem zu tun?

Danke für die Antwort

@tar

was hat W32/Sdbot-SS mit unserem Problem zu tun?
es ist dein problem

"jungfräuliches" XP
vll ein schon verseuchtes system?

Da das System auch sonst vesifft war beschlossen wir es vollständig neu zu machen. Alle Partitionen wurden gelöscht, neu erstellt und ein neues XP (SP1)installiert (und alle neuen XP Updates)

warum kein sp2?

setze dein system nach der anleitung auf den ich dir gepostet habe.
dann müßte es gehen

chaosman

ok. defragfat32 ergibt auf dieser Seite einen Sinn

unter defragfatx kann ich nichts finden. Wird aber alles das selbe sein, da ich oft jetzt gelesen habe dass es diesen in zig Varianten gib daher meine Überschrift defragfat****

W32/Sdbot-SS ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.

W32/Sdbot-SS kopiert sich als defragfat32.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, damit er beim Systemstart aktiviert wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows DLL Loader
defragfat32.exe

W32/Sdbot-SS verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehle von einem remoten Anwender erhalten hat.

Ganz klar wie man den bekommt ist mir dennoch nicht

Gruß

"jungfräuliches" XP
vll ein schon verseuchtes system?

Das kann ja wohl nicht sein, da es von der Original CD installiert wird. SP2 muss erst runtergeladen werden. Dazu muss man im Internet sein. Bis dahin ist das Problem schon wieder da.

Danke für die Antworten.

Das mit dem W32/Sdbot-SS = defragfat32 habe ich bislang beim googeln nirgendwo gefunden.

Wie man den also bekommt würde mich noch interessieren. Bevor man zum erstenmal ins Internet geht hat man ja den Nachrichtendienst deaktiviert und einen Firewall eingerichtet. Ansonsten wurde alles berücksichtigt (bis auf SP2) aber ansonsten alle Serviceupdatetes für XP SP1

Zitat:

Das mit dem W32/Sdbot-SS

Hi
dann schau doch mal hier ist sehr aufschlussreich
wenn Du mich fragst kannste neu aufsetzen


Gruß Gigamail

Hallo,

mach das, was in der Anleitung steht und danach ist dein Problem erledigt.

Zitat:

Das mit dem W32/Sdbot-SS = defragfat32 habe ich bislang beim googeln nirgendwo gefunden.

http://www.google.de/search?q=defrag...de-DE:official