Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Sdbot.asr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.06.2006, 18:19   #1
m!lan
 
Backdoor.Win32.Sdbot.asr - Daumen runter

Backdoor.Win32.Sdbot.asr



hallo erstmal bin "der neue" hier und ein totaler computer-laie, also habt bitte nachsicht, falls ich nicht immer sofort jeden ausdruck und "befehl" verstehe, der mir hier geraten wird

also, mein problem hat mit dem oben genannten trojaner-programm zu tun, welches sich bei mir in den system32-ordner eingeschlichen hat. es sieht leider so aus, dass mir mein kaspersky schon seit einigen tagen beim hochfahren sagt, dass die datei "kernel32.ime" sowie "svchost/kernel32.ime" infiziert sind mit diesem trojaner-programm. löschen lässt sich zwar der svchost, allerdings kann ich danach nur noch eingeschränkt mit dem rechner arbeiten, d.h. einige sachen wie z.b. mit dem internet verbinden und/oder das trennen geht nicht mehr, ich kann - wenn ich mich vorher eingewählt habe - keine links mehr öffnen, weiterleitungen funktioneren auch nicht mehr, und die "drag & drop"- sowie die "copy/paste"-funktion laufen auch nicht mehr.

ich habe nun schon ad-aware se, spybot, hijackthis und natürlich kaspersky laufen lassen, wobei nur kaspersky immer wieder den trojaner findet und die anderen nicht, was auch daran liegen könnte, dass ich bei den restlichen programmen schon seit mehreren monaten kein update mehr vorgenommen habe.
jedenfalls lässt sich wie gesagt die svchost.exe löschen, die kernel32.ime datei bleibt allerdings, und kannt laut kaspersky nicht gelöscht werden, da das objekt gesperrt wurde im abgesicherten modus lässt sich dann nur die kernel32.ime datei löschen, dafür die svchost.exe nicht...
dazu kommt, dass beide wieder da sind, sobald ich den rechner wieder im normalen modus neu starte.

nun habe ich natürlich schon etwas bei google gesucht und fand eine beschreibung eines englischsprachigen menschen ^^ der empfiel, das "Remote Procedure Call (RPC) Remote" (RpcRemote) und bloß nicht das "Remote Procedure Call (RPC) Remote" mit der endung (RpcSs) oder (RpcLocator) zu löschen. allerdings weiß ich a.) nicht, ob bei der deutschen version von windows 2000 dieses RPC-wasauchimmer genau so heißt und b.) hab ich keine ahnung, wo sich dieses aufhält ^^


für schnelle hilfe wäre ich äusserst dankbar!

Alt 25.06.2006, 18:24   #2
Rene-gad
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



@m!lan
Bei einem Backdoor ist das Neuafsetzen des Windows angesagt. Alle anderen Maßnahmen sind erfahrungsgemäß unzureichend. Anleitung-Link in meiner Signatur bitte verfolgen.
__________________


Alt 25.06.2006, 18:27   #3
m!lan
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



ohhh man...hört sich ja nicht gut an...

und diese RPC-geschichte wäre auch keinen versuch wert??
__________________

Alt 25.06.2006, 18:30   #4
felix1
/// Helfer-Team
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Zitat:
Zitat von m!lan
ohhh man...hört sich ja nicht gut an...

und diese RPC-geschichte wäre auch keinen versuch wert??
Tue, was Rene-Gad Dir geraten hat
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 25.06.2006, 18:31   #5
Rene-gad
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Zitat:
Zitat von m!lan
und diese RPC-geschichte wäre auch keinen versuch wert??
Du kannst alles versuchen. Bei einer gewissen Menge Glück bekommst du im Endeffekt keine Meildung von deinem Antivirus. Aber das kann auch bedeuten, dass dein Antivirus mittels dieses Backdoors auch kompromittiert wurde. Mehr dazu : http://www.microsoft.com/technet/com...mt/sm0504.mspx
EDIT: Moin felix1


Alt 25.06.2006, 18:31   #6
m!lan
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



hey hey, war doch nur 'ne frage...

EDIT:
ok, danke rene-gad. bloß weiß ich immer noch nicht, wie ich an dieses RPC rankomme....

Alt 25.06.2006, 20:23   #7
Yopie
Moderator, a.D.
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Zitat:
Zitat von m!lan
bloß weiß ich immer noch nicht, wie ich an dieses RPC rankomme....
Einen garantiert sicheren Rechner bekommst du nicht mehr durch rumfuckeln. Von daher kannst du deine RPC-Problematik erstmal vergessen.

Gruß
Yopie

Alt 28.06.2006, 21:14   #8
m!lan
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



sagt mal, kann es sein, dass so eine art trojaner, wie ich ihn hatte, irgendwann "labil" wird bzw. sich irgendwann einfach löschen lässt?? also ich hab die letzten 3 tage so mit dem rechner gearbeitet und jedes mal, wenn der hinweis von kaspersky kam, dass ich einen trojaner hab, hab ich "löschen" angeklickt und es hieß immer "löschen nicht möglich, objekt gesperrt"... nun habe ich heute mal wieder den gleichen fall gehabt und heute sagt er mir plötzlich "objekt gelöscht - keine gefährlichen objekte" mehr

sowas hatte ich anfangs auch, da hab ich allerdings immer per neustart geprüft, obs wirklich geklappt hat und da war er jedes mal wieder da. diesmal nicht und die datei ist auch definitiv nicht mehr in dem ordner.

werd jetzt nochmal kaspersky komplett laufen lassen und warten, was es sagt...trau dem frieden nicht so ganz....

Alt 28.06.2006, 21:58   #9
Yopie
Moderator, a.D.
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Pass auf, es ist ganz einfach: Du fragst um Hilfe, wir geben dir Hilfe. Du musst sie nur umsetzen. Wenn du es eh besser weisst, warum fragst du überhaupt nach? Den Link von Rene-Gad hast du auch nicht gelesen, sonst würdest du jetzt nicht nachfragen. Für dich der Kernsatz aus der Microsoft-Seite: "The only way to clean a compromised system is to flatten and rebuild."



Gruß
Yopie

Alt 28.06.2006, 22:42   #10
m!lan
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



mein freund, ich habe um rat gebeten, richtig. den link habe ich überflogen, weil ich bisher weder die zeit, noch das nötige know-how hatte, um so eine neuaufsetzung durchzuführen. nun hat sich mehr oder weniger durch zufall eine neue situation ergeben, die diesen ganzen prozess, mit dem ich am morgigen tag begonnen, da ich dann einen kollegen hier gehabt hätte, möglicherweise zu nichte gemacht hat.
ich frage nur, ob es möglich ist, dass ich dieses ding jetzt doch so los bin...ein einfaches "ja" oder "nein" hätte mir ausgereicht, anstatt so einer standpauke...

Alt 28.06.2006, 22:51   #11
irrlicht
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Hallo Milan,
Zitat:
ich frage nur, ob es möglich ist, dass ich dieses ding jetzt doch so los bin
Nein !
Zitat:
ein einfaches "ja" oder "nein" hätte mir ausgereicht,
Sicher ?
Du hättest nicht gefragt "Warum" ?
Ist wirklich ein guter brauchbarer Link...
http://www.mathematik.uni-marburg.de...ompromise.html
Irrlicht

Alt 28.06.2006, 23:00   #12
Yopie
Moderator, a.D.
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Du hast 4 (vier!) Mal in freundlichem Ton immer den gleichen, eindeutigen Rat bekommen. Die Frage, die du dann stelltest, war vorher ebenfalls bereits beantwortet! Von daher sollte dich eine "Standpauke" in der fünften Antwort nicht wundern.

Wenn du zum Lesen der angebotenen Informationen keine Zeit oder keine Lust hast, dann besorge dir professionelle Hilfe für den Recher, die dir die Arbeit abnimmt.

Gruß
Yopie

Alt 28.06.2006, 23:07   #13
m!lan
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



@ irrlicht: ok, das "warum" würde mich natürlich auch interessieren. aber danke schonmal für den link!


@ yopie: da ich bisher noch nicht wirklich von einem ähnlichem fall gehört oder gelesen habe, habe ich tatsächlich angenommen, dass so eine frage berechtigt wäre...

Alt 28.06.2006, 23:11   #14
cronos
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Die Frage war berechtigt, nur hast du leider die Antworten nicht umgesetzt.
__________________
Only cronos endures

Alt 28.06.2006, 23:25   #15
Yopie
Moderator, a.D.
 
Backdoor.Win32.Sdbot.asr - Standard

Backdoor.Win32.Sdbot.asr



Du hast oder hattest einen Backdoor auf dem Rechner. Alles, was du jetzt auf dem Rechner feststellt (sowohl positiv als auch negativ), ist von vornherein mit einem großen Unsicherheitsfaktor behaftet!

Backdoor: Vollzugriff von Dritten auf deinen Rechner, mit der Möglichkeit, auch Systemdateien zu verändern, AV-Programme zu verändern etc. Diese Änderungen kann kein Programm im Nachhinein feststellen, erst recht kein Programm, was auf dem manipulierten Rechner läuft. Das wäre ja auch blöd, wenn es auffallen würde; mit z.B. Spamversand oder DDoS-Attacken kann man viel Geld verdienen.

Microsoft: "You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there."

Das alles hättest du wissen können, hättest du die Hinweise frühzeitig befolgt! Dann hättest du auch nicht noch drei Tage mit einem Rechner gearbeitet, der nicht mehr als "deiner" bezeichnet werden kann.

Übrigens bringt die Boardsuche nach SdBot auch eine Menge Hinweise; durch die Benennungsproblematik bei Malware ist aber sogar für mich verständlich, wenn man dort nichts findet.

Gruß
Yopie

Antwort

Themen zu Backdoor.Win32.Sdbot.asr
abgesicherten modus, ad-aware, datei, geht nicht, geht nicht mehr, gelöscht, gesperrt, google, hijack, hijackthis, immer wieder, infiziert, internet, kaspersky, kein update, keine ahnung, links, löschen, mehrere, neue, problem, programme, rechner, remote, schnelle hilfe, spybot, svchost.exe, system, update, weiterleitungen, windows




Ähnliche Themen: Backdoor.Win32.Sdbot.asr


  1. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  2. backdoor.SDbot - domredi virus? vollständig entfernen
    Log-Analyse und Auswertung - 15.08.2012 (1)
  3. Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (47)
  4. MSN Virus (Backdoor.Win32.SdBot.ihf)
    Plagegeister aller Art und deren Bekämpfung - 23.11.2008 (1)
  5. MSN Virus (Backdoor.Win32.SdBot.ihf)
    Mülltonne - 22.11.2008 (0)
  6. MSN Virus (Backdoor.Win32.SdBot.ihf)
    Mülltonne - 22.11.2008 (0)
  7. Hilfe!!Habe Trojaner Backdoor Win32.SdBot.cjn!!!!
    Plagegeister aller Art und deren Bekämpfung - 28.11.2007 (0)
  8. Trojan Horse IRC/BackDoor.SdBot.MYX
    Plagegeister aller Art und deren Bekämpfung - 14.11.2006 (7)
  9. Backdoor.Win32.SdBot.axq
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (5)
  10. Hilfe habe einen Trojaner Win32:SdBot-gen44 [Trj] und muss auf eine LAN WICHTIG!!!
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (8)
  11. Trojan.Downloader.Gen + Backdoor.SDBot.ALH
    Plagegeister aller Art und deren Bekämpfung - 22.03.2006 (1)
  12. Kann mir jemand bei "Backdoor.Win32.SdBot.agt" weiter helfen???
    Plagegeister aller Art und deren Bekämpfung - 17.10.2005 (1)
  13. Backdoor.SdBot.je/syswu32.exe nicht entfernbar u.a.
    Plagegeister aller Art und deren Bekämpfung - 10.10.2004 (1)
  14. HILFE!! Backdoor.Sdbot
    Plagegeister aller Art und deren Bekämpfung - 24.03.2004 (8)
  15. Backdoor.SDBot.Gen
    Plagegeister aller Art und deren Bekämpfung - 11.01.2004 (1)
  16. Hilfe...Backdoor.Sdbot
    Plagegeister aller Art und deren Bekämpfung - 02.06.2003 (5)
  17. Backdoor.IRC.SdBot
    Archiv - 02.01.2003 (21)

Zum Thema Backdoor.Win32.Sdbot.asr - hallo erstmal bin "der neue" hier und ein totaler computer-laie, also habt bitte nachsicht, falls ich nicht immer sofort jeden ausdruck und "befehl" verstehe, der mir hier geraten wird also, - Backdoor.Win32.Sdbot.asr...
Archiv
Du betrachtest: Backdoor.Win32.Sdbot.asr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.