WORM_SDBOT.DAS und wie bekomme ich den weg?

[Mona64]

Hallo,

war in einem anderen Forum unterwegs, weil ich wegen meines Nachbarn, der ein Problem mit der Deinstallierung hat, die Frage hatte, was da falsch gelaufen sein konnte. Bei ihm ist es so, daß nach einer Deinstallierung über Software: Deinstallieren sich beim Aufrufen des Internets (egal welche Seite), die Seite von Zone Alarm aufbaut und dann geht nichts mehr. Jetzt hab ich mich nach Eurer Deinstallierungsroutine drangewagt, danach ließen sich immerhin Mails abrufen, aber das Ergebnis war eine Katastrophe. Er hat übrigens noch die Version 3.1 von Zonealarm.

Hallo zusammen,

ich hatte Euch ja angekündigt, daß ich mittels der Beschreibung auf die gelinkt (die Seite hier) wurde, versuchen würde, das Problem meines Nachbarn zu lösen. Das endete höchst frustrierend, weil:

1. Die Ordner zonelabs und internet logs existierten und ließen sich auch löschen

2. in der system32-Datei gab es die Datei zlparser.dll gar nicht

4. Die Datei vsdatant.sys ließ sich nicht löschen.

5. Die regedit konnte ich nur mittels regcleaner aufrufen, aber nicht über Start: Ausführen (Bild ging auf und verschwand sofort wieder).

6. Die Datei regedt32.exe gab es gar nicht.

Tja, als ich alles mögliche (das was möglich war) gelöscht hatte, sagte mir der Computer (der Mails abrufen konnte, aber immer noch keine Websites aufrufen), es gebe 55 critical system errors.

Er riet dazu:

1. Download registry update from Registry Update (witzig, wenn man gar nicht ins Internet kann)

2. Install registry update

3. run registry update

4. reboot your computer.

Und nu? Ich bleibe ratlos zurück. Und mein Nachbar war ob meiner anfänglichen Erfolge schon ganz begeistert, aber dann gab's das böse Erwachen.

Gruß,

Mona.

Daher würde ich mich sehr über weitere Tips von Euch freuen. Ich hatte das Problem früher mit einer anderen Firewall/Virenscanner ebenfalls und konnte mich auch durch Tips aus Foren davon befreien. Daher wäre ich entzückt, wenn es auch diesmal wieder klappt.

Gruß und Danke im voraus.

Mona.

[Franz]

Hallo und herzlich Willkommen bei uns ,

schön, daß du hergefunden hast.

Du hast das alles so wunderbar ausführlich dargestellt, daß mir gleich auffiel,
daß es ziemlich sicher gar nicht um Zone Alarm selbst geht, sondern eher um einen infizierten Rechner.
Du kannst keine Webseiten aufrufen, keine Mails abrufen,
wahrscheinlich funktionieren auch andere Downloads nicht oder Besuch auf Sicherheits Webseiten (z.B. Kaspersky),
die Registrierung kannst du nicht über Windows öffnen.
Das sind für mich alles Anzeichen für die Gegenwart einer Malware.

Wenn du keinen AntiVirus Scanner installieren oder den Taskmanager nicht starten kannst,
dürfte das die erste Diagnose bestätigen.

Mein Vorschlag:

Stinger - muß nicht installiert werden und erkennt ca 60 der bekanntesten Viren und Trojaner.
HijackThis - zur Auswertung der aktiven Prozesse
Spybot Search& Destroy - zum Scannen und Bereinigen von Spyware, etc.

Alle Programme findest du in unserer DownloadSection.

Du kannst den Logfile des HijackThis gerne auch hier posten.
Mal schauen, was die Auswertung bringen wird.

Anschließend können wir uns um die Deinstallation von ZA kümmern.

[Mona64]

Hallo,

jetzt gibt es die Antwort von mir:

Stinger hat den Virus W32/sdbot.worm ftp virus entdeckt und vernichtet.

Spybot Search & Destroy hat eine Menge Cookies gefunden und ein Problem mit einer Verknüpfung gehabt: C:/windows/web/related.htm und mit zwei Registrierungsdatenbank-Schlüsseln. Wenn ich richtig gesehen habe, war das aber von einem Tool was ich zwei Tage vorher erst aufgespielt hatte, um in die Registry zu kommen.

Hijackthis hat mir ein Protokoll ausgegeben. Aber was braucht Ihr da für Infos von? Es gibt einmal die Abteilung running processes: Dann och was von R1, R0 und O4 usw. usf. Also, welche Infos benötigt Ihr?

Gruß,

Mona.

[Franz]

Einfach den ganzen Log abspeichern und hier an deinen nöchsten Post anhängen.
Alternativ kannst du es auf der Hompage von HijackThis auch auswerten lassen.
Aber hier macht es sicher mehr Spaß.

P.S.: evtl. vorhandene Privateinträge (z.B. Namen) maskieren.

[Mona64]

Hallo,

jetzt gibt es das Logfile. Ich mußte es leider per Hand abschreiben, grummel, mein Scanner wollte nicht so wie ich, daher statt Slash einen Schrägstrich. Lange Zahlenreihen hab ich rausgelassen, falls Ihr da was braucht, bitte melden. Ich bin wahnsinnig gespannt, was des Rätsels Lösung ist. So hartnäckig kann doch kein Teil sein...

Eins vielleicht noch dazu. Den Antivir hab ich erst aufgespielt, nach meinem ersten Versuch das ganze runterzubekommen.

noch eins kurz: Den Anti Vir hab ich nach meinem ersten fehlgeschlagenen Versuch aufgespielt. Vorher war der nicht da.

Gruß,

Mona.

[Franz]

Hmm,

du hast das alles mit Hand abgetippt?
Bei HijackThis gibt es die Möglichkeit, den Scan in Form einer Textdatei abzuspeichern.
Die kannst du dann unter dein Post hier anhängen.
Die Einträge

O4 – hkcu/../run: (h/pc connection agent) “c:/programme/microsovt Activesync/wcescomm.exe”
O9 – extra button: mobilen favoriten erstellen – (endlos lange nummer) – c:/programme/microsoft activesync/inetrepl.dll
O9 – extra button: (no name) – (endlos lange nummer) – c://programme/microsoft activesync/inetrepl.dll
O9 – extra button: related – (endlos lange nummer) – C./windows/weg/related.htm
O9 – extra “tools” menuitem: show &related links – (endlos lange nummer) – c:/windows/web/related.htm
O9 – extra button: messenger – (endlos lange nummer) c://progra~1/messen~1/msmsgs.exe (file missing)
O14 – iereset.inf:search_page_url=
O14_iereset.inf: start_page_url=

gehören auf jeden Fall nicht hierein, jedenfalls nicht als "file missing".
Und dann fehlt noch ein ganzes Stück des Logfiles.

Mach es einfach so:

Starte HijackThis -> "Do a systemscan and save logfile" auswählen -> scannen lassen und
dann den Logfile (vermutlich unter Eigene Dateien) an den nächsten Post von dir dranhängen:

Zuerst hier antworten, dann unterhalb des Buttons "Antworten" auf "Anhänge verwalten" klicken.
Im Fenster auf "Durchsuchen" und den Ordner "Eigene Dateien" öffnen, das Logfile markieren und hochladen.
Wenn der Upload fertig ist, einfach im Post wieder auf "Antworten" klicken.

Das erspart ein Haufen Tipparbeit.

Sorry, daß du das hast tippen müsssen.

[Mona64]

Hi,

das liegt einfach daran, daß sich das ganze auf dem PC meines Nachbarn abspielt, der, wie gesagt, nicht ins Internet kann. Daher muß ich das ganze mit zu mir nehmen und dort einspielen. Ich hab einfach nicht daran gedacht das ganze auf Diskette oder was auch immer zu speichern und mit rüberzubringen, daher das Abtippen. Ich dachte es ginge um eine Zeile oder so, die ich nachschauen muß:-)))

Okay, dann gehe ich nochmal rüber und sichere es...

Gruß,

Mona.

[Mona64]

Hallo,

da bin ich wieder.

Jetzt gibt es nochmals den Log, soweit ich sehe und wie ich vermutet habe, wird er aber, auch beim Kopieren, nicht länger. Ich kann den auch gerne noch als Anhang und ohne Reinkopieren schicken, wenn das irgendwie von Nutzen ist.

Wie Du siehst, hab ich ihn heute nochmal neu gemacht, wenn ich beim Abschreiben keinen Fehler gemacht habe, ist es aber der gleiche wie der von Freitag.

Gruß,

Mona.

[Franz]

Deinen Post habe ich ein wenig gekürzt und den Logfile als Anhang erstellt.

Also,
wie ich vermutet hatte, sind hier einge Einträge, die nicht gesund sind:
Unbedingt ein Update des Internet Explorers durchführen (Vers. 6 oder 7).

Aber zuerst:

1.
C:\WINDOWS\System32\vxddirectx32.exe
O4 - HKLM\..\Run: [Run Service Vxdrun] vxddirectx32.exe
O4 - HKCU\..\Run: [Run Service Vxdrun] vxddirectx32.exe
O4 - HKCU\..\RunServices: [Run Service Vxdrun] vxddirectx32.exe

dürfte wohl das Schwierigste sein, zu entfernen, denn das ist ein Wurm.
Eine gute Lösung für die Entfernung bietet Trend Micro dafür an.

Dann
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O14 - IERESET.INF: START_PAGE_URL=

gehören ebenfalls mit dem HijackThis Tool gefixt.
(Scan starten, die beiden Einträge mit einem Haken versehen und unten auf "Fix checked" klicken)

Also:
1. geschwind die beiden unten genannten Einträge fixen
2. Zur Trend Micro Seite gehen, das Werkzeug herunterladen und die
Löschschritte abarbeiten
3. Update für den Internet Explorer
4. Browserwechsel auf Opera oder Firefox vorschlagen

Falls du nach der Löschung des Wurms bei deinem Nachbar nicht ins Internet kommst,
hol' dir das komplette Update schon vorher und speichere es auf USB Stick oder brenne das Update auf eine CD.
Internet Explorer v6.0 SP1 - Deutsch (77.99 MB)

[Mona64]

Hi,

zuerst mal danke für die Tips. Ich gehe aber davon aus, bevor es wieder ins Internet geht, sollte ein funktionsfähiger und upgedateter Virenscanner vorhanden sein, oder?

Das Logfile, das angehängt war, ist vom PC gespeichert worden, jedenfalls beim zweiten Mal. Beim ersten Mal wußte ich nicht, daß das ganze benötigt wird und habe es deshalb per Hand abgetippt, aber nur beim ersten Mal. (Ich wollte nicht nochmal abspeichern gehen.) Das zweite File befand sich auf einer Diskette.

Gruß,

Mona.

[Franz]

Ein Virenscanner ist bei deinem Nachbarn bereits installiert. Allerdings wird er nicht unbedingt aktuell sein.
Solange der Virus vorhanden ist, wirst du auch kaum ein Update durchführen können,
weil alle Sicherheitsseiten auf den Rechner verlinkt und dadurch nicht anwählbar sind.
Wenn du im Windows Explorer unter
F:\WINDOWS\system32\drivers\etc
gehst, findest du u.a. einen datei namens "hosts", die kannst öffnen und
bearbeiten, indem du einen R-Klick auf sie machst und im Menü
Öffnen -> Editor auswählst.

GANZ WICHTIG:
---------------------
- alle Zeilen, die mit "#" beginnen und

- den Eintrag "127.0.0.1 localhost"

dürfen nicht gelöscht werden
-------------------

Alle anderen Einträge kannst du ohne Vorbehalt löschen.
Dann schließen und bestätigen.
Erneut einen R-Klick auf die Datei ->Eigenschaften anwählen und einen Haken
bei "Schreibgeschützt" setzen und bestätigen.

Jetzt kannst du versuchen, ins Internet zu kommen, um AntiVir zu aktualisieren.

Zum Logfile:
Irgendetwas haut da nicht ganz hin, denn das Log schreibt nicht
"(endlos lange nummer)".
Deswegen meinte ich, du hättest alles nocheinmal geschrieben.
Aber nun gut, ersteinmal schauen, was die Programme und Schritte bringen, die ich dir genannt habe.

[Mona64]

Hi,

jetzt gibt es das neueste Logfile, nachdem ich den Super Ad Blocker hab laufen lassen. Bei den Zeilen mit dem search_page_url = streikt Search & Distroy und blendet mir was ein, von wegen nicht löschen wegen wichtig.

Die Zeilen mit den endlos langen Nummern oder vielmehr den Begriff hab ich natürlich per Hand noch gegen die Nummer ausgetauscht, ich dachte, da würde vielleicht was persönliches genannt werden.

Ich hab Deinen letzten Eintrag gesehen, warte jetzt aber mal ab, was Du zu dem Logfile sagst, bevor ich weitermache.

Gruß und Danke schon mal vielmals,

Mona.

[Franz]

Das sieht ja schon ganz schön aus.
Wenn jetzt noch der IE das Update bekommt und der Virenscanner auch, dürfte der PC wieder sauber sein.

Den Eintrag

O14 - IERESET.INF: SEARCH_PAGE_URL=

kannst du noch mit HijckThis fixen, wenn du willst, ist aber nicht zwingend erforderlich.

Funktioniert der Internetzugang wieder?
Dickes Lob an Mona, das hast du super hinbekommen.

P.S.:Tipp für den Nachbarn: Finger weg von Shareprogrammen, wenn man nicht damit umgehen kann.

[Mona64]

Hi,

danke fürs Lob. War auch richtig Arbeit für einen nicht-registry-Profi, aber eine Frage hab ich noch. Was ist mit den Resten von Zone Lab, die noch überall herumhängen, die müßten doch zuerst noch gelöscht werden, oder?

Und - mir ist sowas ähnliches vor Jahren mit einem anderen Virenscanner auch mal passiert, wußte damals noch gar nicht wie hartnäckig solche Teile sein können...

Gruß,

Mona.

[Franz]

Ja,
die Löschung des Wurms ist wirklich nicht ganz ohne.
Aber auch die Reste von ZA sollten gelöscht werden.