Virusproblem

[MRThomm]

Und schon wieder gibts Probleme bei mir, diesmal ein etwas größeres.

Hab heute mal Antivirus durchlaufen lassen und bin dabei auf folgene Datei/Virus gestoßen.

Objektname: C:\WINNT\system32\syscfg32.exe

Virenname: Backdoor.Sdbot


Diese Datei wollte auch öfters mal einen Zugriff auf irgendwelche Verbindungen haben, die hab ich natürlich gleich blockiert.
Zuerst wollt ich die Datei isolieren, ohne Erfolg. Und Löschen kann ich sie auch nicht.
Da steht dann immer:

Quelldatei ist möglicherweise geöffnet...

Jo jetzt die Experten

Könnt ihr mir irgendwie helfen, wie ich den Virus wieder runter kriege?? Hab schon etwas Angst dass der mir irgendwas am PC put macht.
ThX schomal im voraus

[Shaddow6]

vielleicht helfen dir die tools weiter die saemikneu in dem thread empfohlen hat

http://www.cncforen.de/showthread.php?threadid=24210

viel erfolg

[Demborix by GCC]

Hio,

mit Diskette oder CD starten und von der reinen Befehlszeile aus erst mal umbenennen.

MfG
Dembo

[MaFiSoft]

Es handelt sich hierbei wohl um einen Trojaner und nicht um einen Virus.

Als erste Gegenmassnahme würde ich so vorgehen wie Dembo beschrieben. Als weiteres solltest du mal den Begriff bei google eingeben und schauen, ob noch weitere Schritte und welche notwendig sind, um den Trojaner komplett zu entfernen.

[MyersGer]

ihr seid alle so kompliziert immer extra sachen saugen usw... nene
ich lobe mir da mein ntfs. schnell mal sagen, dass keiner drauf zugreifen darf und dann sagen dass administrator nur löschen darf. zack gelöscht! funktioniert mit jeder datei, die man normalerweise nicht löschen kann (auch wenn sie -vorher- verwendet wird).

wem das zu kompliziert is oder kein nerv drauf hat (obwohl das ganze ca. 10 sekuden dauert) muss sich halt n porgramm zum entfernen saugen oder es so wie dembo machen.

[ccdx21]

also ich hab ntfs und bin auch nen admin
dennoch kann ich bei mir gewisse datein nicht löschen

[Agent Smith]

symantec.com
da nach dem virus suchen
wenns n toll dagegen gibt, saugen
starten und virus is weg

[MyersGer]

Zitat:

Original geschrieben von ccdx21
also ich hab ntfs und bin auch nen admin
dennoch kann ich bei mir gewisse datein nicht löschen

musst auch berechtigungen nehmen und dem admin NUR löschen erlauben

[ccdx21]

gut
bin xp newbie
wo mach ich das ?
wo find ich das?

[MyersGer]

mäh hab kein webspace mehr (na ok 5kb hab ich noch )
muss ich hier 5 posts machen *gruml*

[MyersGer]

aber das ganze sollte sich von selbst erklären

[MyersGer]

wenn nicht kannste ja doch noch nachfragen

[MyersGer]

-

[MyersGer]

noch ma sorry aber ich kanns ja nachher wieder löschen!

[MRThomm]

Zitat:

Original geschrieben von Demborix by GCC
Hio,

mit Diskette oder CD starten und von der reinen Befehlszeile aus erst mal umbenennen.

MfG
Dembo

Das kapier ich irgendwie ned ganz

Ich wollte das Proggi von Samikneu runterladen, aber der Server scheint zu überlastet zu sein.

@Myers
Ich bin jetzt so vorgegangen wie du es beschrieben hast und hab mir ( Admin ) nur das Recht gegeben die Datei zu löschen. Aber nach wie vor kommt immer wieder "Kein Zugriff möglich. Die Quelldatei ist möglicherweise geöffnet"

Bei Symantec bin ich auch ned fündig geworden und in der info der Virenliste steht bei backdoor.sdbot nur Häufigkeit "häufig"
Infiziert: N/A
Länge: 0 Byte
und sonst auch nichts weiters. Also wirklich weiter hat mir das noch nicht geholfen. Aber ich hoffe doch noch, dass ihr mir irgendwie weiterhelfen könnt

Ich hab grad noch ne neue Datei mit dem selben Namen syscfg32 entdeckt, die gestern noch nicht da war. Es ist eine Verknüpfung mit einer Anwendung für MS-DOS. Kann ich diese Verknüpfung löschen oder hat das irgendwas zu bedeuten??

[MyersGer]

nö die kann nicht mehr verwendet werden wenn nur löschen eingetragen is und auch kein anderer benutzer drauf zugreifen kann.
wenn doch... vielleicht steht das programm ja unter prozesse beim taskmanager!?




bei symantec steht wie man den entfernt aber nur mit norton AV (gaaaanz unten in der virus-beschreibung)

sonst musste ma google suchen...
http://www.google.de/search?hl=de&ie...++remove&meta=

[MRThomm]

beim Taskmanger ist kein Vorgang da

also zum removen soll ich das hier machen

Do the following to remove the Backdoor.Sdbot:

Download the latest virus definitions.
For Windows 95/98/Me, restart the computer in Safe mode.
For Windows NT/2000/XP, stop the Trojan process.
Scan with NAV, and delete all infected files.
Remove the entries that the Trojan added to the registry.

Was heisst hier Trojan Vorgang stoppen? Und wie kann ich herausfinden, welche Einträge der Trojaner bei mir im Register gemacht hat??

Ich bin jetzt nochmal mit NAV durch den Trojaner gegangen, konnte ihn nach wie vor nicht löschen, aber ich hab ihn jetzt isoliert.

Kann da trotzdem noch irgendwas oder irgendwann schief gehen oder ist der Trojaner jetzt wirklich vom System abgeschlossen?

Falls alles jetzt sicher ist danke ich schonmal für alle Ratschläge + Hilfen

[MyersGer]

mit trojan process meinen die das was ich oben gesagt hab (ob er im task manager unter prozesse steht und da sollteste den dann schliessen)

wenn das programm isoliert ist sollte man des auch aus der isolation löschen können oder?
wenn es sonst nirgends ist haste es wohl entschärft

[MRThomm]

Naja, jetzt gibt es nur noch das Problem mit der DOS-Verknüpfung. Die kann ich nicht löschen, aber dafür hab ich da auch alle Berechtigungen entzogen, nur löschen ist jetzt noch eingetragen. Aber wenn ich mit NAV durch den Ordner gehe findet er keinen Virus/Trojaner mehr, obwohl da noch ne syscfg32 datei da ist. Wie kann ich da jetzt vorgehen? Ich mein die DOS-Datei ist erst heute aufgetaucht.

Könntest ja versuchen in SafeMode oder so zu löschen...

[MRThomm]

hehe ich hatte zwar jetzt keine probleme mehr, aber die datei hat mich immer noch gestört. Irgendwie hab ichs jetzt geschafft, dass ich die datei lösche, irgendwas bei NAV rumpropiert und das teil war weg

Also ThX nochmal an @lle