WORM_SDBOT.DAS und wie bekomme ich den weg?

Mona64

gehört zum Inventar
Hallo,

war in einem anderen Forum unterwegs, weil ich wegen meines Nachbarn, der ein Problem mit der Deinstallierung hat, die Frage hatte, was da falsch gelaufen sein konnte. Bei ihm ist es so, daß nach einer Deinstallierung über Software: Deinstallieren sich beim Aufrufen des Internets (egal welche Seite), die Seite von Zone Alarm aufbaut und dann geht nichts mehr. Jetzt hab ich mich nach Eurer Deinstallierungsroutine drangewagt, danach ließen sich immerhin Mails abrufen, aber das Ergebnis war eine Katastrophe. Er hat übrigens noch die Version 3.1 von Zonealarm.

Hallo zusammen,

ich hatte Euch ja angekündigt, daß ich mittels der Beschreibung auf die gelinkt (die Seite hier) wurde, versuchen würde, das Problem meines Nachbarn zu lösen. Das endete höchst frustrierend, weil:

1. Die Ordner zonelabs und internet logs existierten und ließen sich auch löschen

2. in der system32-Datei gab es die Datei zlparser.dll gar nicht

4. Die Datei vsdatant.sys ließ sich nicht löschen.

5. Die regedit konnte ich nur mittels regcleaner aufrufen, aber nicht über Start: Ausführen (Bild ging auf und verschwand sofort wieder).

6. Die Datei regedt32.exe gab es gar nicht.

Tja, als ich alles mögliche (das was möglich war) gelöscht hatte, sagte mir der Computer (der Mails abrufen konnte, aber immer noch keine Websites aufrufen), es gebe 55 critical system errors.

Er riet dazu:

1. Download registry update from Registry Update (witzig, wenn man gar nicht ins Internet kann)

2. Install registry update

3. run registry update

4. reboot your computer.

Und nu? Ich bleibe ratlos zurück. Und mein Nachbar war ob meiner anfänglichen Erfolge schon ganz begeistert, aber dann gab's das böse Erwachen.

Gruß,

Mona.

Daher würde ich mich sehr über weitere Tips von Euch freuen. Ich hatte das Problem früher mit einer anderen Firewall/Virenscanner ebenfalls und konnte mich auch durch Tips aus Foren davon befreien. Daher wäre ich entzückt, wenn es auch diesmal wieder klappt.

Gruß und Danke im voraus.

Mona.
 

Franz

assimiliert
Hallo und herzlich Willkommen bei uns :),

schön, daß du hergefunden hast.

Du hast das alles so wunderbar ausführlich dargestellt, daß mir gleich auffiel,
daß es ziemlich sicher gar nicht um Zone Alarm selbst geht, sondern eher um einen infizierten Rechner.
Du kannst keine Webseiten aufrufen, keine Mails abrufen,
wahrscheinlich funktionieren auch andere Downloads nicht oder Besuch auf Sicherheits Webseiten (z.B. Kaspersky),
die Registrierung kannst du nicht über Windows öffnen.
Das sind für mich alles Anzeichen für die Gegenwart einer Malware.

Wenn du keinen AntiVirus Scanner installieren oder den Taskmanager nicht starten kannst,
dürfte das die erste Diagnose bestätigen.

Mein Vorschlag:

Stinger - muß nicht installiert werden und erkennt ca 60 der bekanntesten Viren und Trojaner.
HijackThis - zur Auswertung der aktiven Prozesse
Spybot Search& Destroy - zum Scannen und Bereinigen von Spyware, etc.

Alle Programme findest du in unserer DownloadSection.

Du kannst den Logfile des HijackThis gerne auch hier posten.
Mal schauen, was die Auswertung bringen wird.

Anschließend können wir uns um die Deinstallation von ZA kümmern.
 

Mona64

gehört zum Inventar
Hallo,

jetzt gibt es die Antwort von mir:

Stinger hat den Virus W32/sdbot.worm ftp virus entdeckt und vernichtet.

Spybot Search & Destroy hat eine Menge Cookies gefunden und ein Problem mit einer Verknüpfung gehabt: C:/windows/web/related.htm und mit zwei Registrierungsdatenbank-Schlüsseln. Wenn ich richtig gesehen habe, war das aber von einem Tool was ich zwei Tage vorher erst aufgespielt hatte, um in die Registry zu kommen.

Hijackthis hat mir ein Protokoll ausgegeben. Aber was braucht Ihr da für Infos von? Es gibt einmal die Abteilung running processes: Dann och was von R1, R0 und O4 usw. usf. Also, welche Infos benötigt Ihr?

Gruß,

Mona.
 

Franz

assimiliert
Einfach den ganzen Log abspeichern und hier an deinen nöchsten Post anhängen.
Alternativ kannst du es auf der Hompage von HijackThis auch auswerten lassen.
Aber hier macht es sicher mehr Spaß. :D

P.S.: evtl. vorhandene Privateinträge (z.B. Namen) maskieren.
 

Mona64

gehört zum Inventar
Hallo,

jetzt gibt es das Logfile. Ich mußte es leider per Hand abschreiben, grummel, mein Scanner wollte nicht so wie ich, daher statt Slash einen Schrägstrich. Lange Zahlenreihen hab ich rausgelassen, falls Ihr da was braucht, bitte melden. Ich bin wahnsinnig gespannt, was des Rätsels Lösung ist. So hartnäckig kann doch kein Teil sein...

Eins vielleicht noch dazu. Den Antivir hab ich erst aufgespielt, nach meinem ersten Versuch das ganze runterzubekommen.

noch eins kurz: Den Anti Vir hab ich nach meinem ersten fehlgeschlagenen Versuch aufgespielt. Vorher war der nicht da.

Gruß,

Mona.
 

Anhänge

  • Logfile of HijackThis.txt
    4,4 KB · Aufrufe: 186
Zuletzt bearbeitet von einem Moderator:

Franz

assimiliert
Hmm,

du hast das alles mit Hand abgetippt?
Bei HijackThis gibt es die Möglichkeit, den Scan in Form einer Textdatei abzuspeichern.
Die kannst du dann unter dein Post hier anhängen.
Die Einträge

O4 – hkcu/../run: (h/pc connection agent) “c:/programme/microsovt Activesync/wcescomm.exe”
O9 – extra button: mobilen favoriten erstellen – (endlos lange nummer) – c:/programme/microsoft activesync/inetrepl.dll
O9 – extra button: (no name) – (endlos lange nummer) – c://programme/microsoft activesync/inetrepl.dll
O9 – extra button: related – (endlos lange nummer) – C./windows/weg/related.htm
O9 – extra “tools” menuitem: show &related links – (endlos lange nummer) – c:/windows/web/related.htm
O9 – extra button: messenger – (endlos lange nummer) c://progra~1/messen~1/msmsgs.exe (file missing)
O14 – iereset.inf:search_page_url=
O14_iereset.inf: start_page_url=

gehören auf jeden Fall nicht hierein, jedenfalls nicht als "file missing".
Und dann fehlt noch ein ganzes Stück des Logfiles.

Mach es einfach so:

Starte HijackThis -> "Do a systemscan and save logfile" auswählen -> scannen lassen und
dann den Logfile (vermutlich unter Eigene Dateien) an den nächsten Post von dir dranhängen:

Zuerst hier antworten, dann unterhalb des Buttons "Antworten" auf "Anhänge verwalten" klicken.
Im Fenster auf "Durchsuchen" und den Ordner "Eigene Dateien" öffnen, das Logfile markieren und hochladen.
Wenn der Upload fertig ist, einfach im Post wieder auf "Antworten" klicken.

Das erspart ein Haufen Tipparbeit. ;)

Sorry, daß du das hast tippen müsssen.
 

Mona64

gehört zum Inventar
Hi,

das liegt einfach daran, daß sich das ganze auf dem PC meines Nachbarn abspielt, der, wie gesagt, nicht ins Internet kann. Daher muß ich das ganze mit zu mir nehmen und dort einspielen. Ich hab einfach nicht daran gedacht das ganze auf Diskette oder was auch immer zu speichern und mit rüberzubringen, daher das Abtippen. Ich dachte es ginge um eine Zeile oder so, die ich nachschauen muß:)))

Okay, dann gehe ich nochmal rüber und sichere es...

Gruß,

Mona.
 

Mona64

gehört zum Inventar
Hallo,

da bin ich wieder.

Jetzt gibt es nochmals den Log, soweit ich sehe und wie ich vermutet habe, wird er aber, auch beim Kopieren, nicht länger. Ich kann den auch gerne noch als Anhang und ohne Reinkopieren schicken, wenn das irgendwie von Nutzen ist.

Wie Du siehst, hab ich ihn heute nochmal neu gemacht, wenn ich beim Abschreiben keinen Fehler gemacht habe, ist es aber der gleiche wie der von Freitag.

Gruß,

Mona.
 

Anhänge

  • Logfile of HijackThis.txt
    4,6 KB · Aufrufe: 173
Zuletzt bearbeitet von einem Moderator:

Franz

assimiliert
Deinen Post habe ich ein wenig gekürzt und den Logfile als Anhang erstellt. ;)

Also,
wie ich vermutet hatte, sind hier einge Einträge, die nicht gesund sind:
Unbedingt ein Update des Internet Explorers durchführen (Vers. 6 oder 7).

Aber zuerst:

1.
C:\WINDOWS\System32\vxddirectx32.exe
O4 - HKLM\..\Run: [Run Service Vxdrun] vxddirectx32.exe
O4 - HKCU\..\Run: [Run Service Vxdrun] vxddirectx32.exe
O4 - HKCU\..\RunServices: [Run Service Vxdrun] vxddirectx32.exe

dürfte wohl das Schwierigste sein, zu entfernen, denn das ist ein Wurm.
Eine gute Lösung für die Entfernung bietet Trend Micro dafür an.

Dann
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O14 - IERESET.INF: START_PAGE_URL=

gehören ebenfalls mit dem HijackThis Tool gefixt.
(Scan starten, die beiden Einträge mit einem Haken versehen und unten auf "Fix checked" klicken)

Also:
1. geschwind die beiden unten genannten Einträge fixen
2. Zur Trend Micro Seite gehen, das Werkzeug herunterladen und die
Löschschritte abarbeiten
3. Update für den Internet Explorer
4. Browserwechsel auf Opera oder Firefox vorschlagen

Falls du nach der Löschung des Wurms bei deinem Nachbar nicht ins Internet kommst,
hol' dir das komplette Update schon vorher und speichere es auf USB Stick oder brenne das Update auf eine CD.
Internet Explorer v6.0 SP1 - Deutsch (77.99 MB)
 

Mona64

gehört zum Inventar
Hi,

zuerst mal danke für die Tips. Ich gehe aber davon aus, bevor es wieder ins Internet geht, sollte ein funktionsfähiger und upgedateter Virenscanner vorhanden sein, oder?

Das Logfile, das angehängt war, ist vom PC gespeichert worden, jedenfalls beim zweiten Mal. Beim ersten Mal wußte ich nicht, daß das ganze benötigt wird und habe es deshalb per Hand abgetippt, aber nur beim ersten Mal. (Ich wollte nicht nochmal abspeichern gehen.) Das zweite File befand sich auf einer Diskette.

Gruß,

Mona.
 

Franz

assimiliert
Ein Virenscanner ist bei deinem Nachbarn bereits installiert. Allerdings wird er nicht unbedingt aktuell sein.
Solange der Virus vorhanden ist, wirst du auch kaum ein Update durchführen können,
weil alle Sicherheitsseiten auf den Rechner verlinkt und dadurch nicht anwählbar sind.
Wenn du im Windows Explorer unter
F:\WINDOWS\system32\drivers\etc
gehst, findest du u.a. einen datei namens "hosts", die kannst öffnen und
bearbeiten, indem du einen R-Klick auf sie machst und im Menü
Öffnen -> Editor auswählst.

GANZ WICHTIG:
---------------------
- alle Zeilen, die mit "#" beginnen und

- den Eintrag "127.0.0.1 localhost"

dürfen nicht gelöscht werden
-------------------

Alle anderen Einträge kannst du ohne Vorbehalt löschen.
Dann schließen und bestätigen.
Erneut einen R-Klick auf die Datei ->Eigenschaften anwählen und einen Haken
bei "Schreibgeschützt" setzen und bestätigen.

Jetzt kannst du versuchen, ins Internet zu kommen, um AntiVir zu aktualisieren.

Zum Logfile:
Irgendetwas haut da nicht ganz hin, denn das Log schreibt nicht
"(endlos lange nummer)". ;)
Deswegen meinte ich, du hättest alles nocheinmal geschrieben.
Aber nun gut, ersteinmal schauen, was die Programme und Schritte bringen, die ich dir genannt habe.
 

Mona64

gehört zum Inventar
Hi,

jetzt gibt es das neueste Logfile, nachdem ich den Super Ad Blocker hab laufen lassen. Bei den Zeilen mit dem search_page_url = streikt Search & Distroy und blendet mir was ein, von wegen nicht löschen wegen wichtig.

Die Zeilen mit den endlos langen Nummern oder vielmehr den Begriff hab ich natürlich per Hand noch gegen die Nummer ausgetauscht, ich dachte, da würde vielleicht was persönliches genannt werden.

Ich hab Deinen letzten Eintrag gesehen, warte jetzt aber mal ab, was Du zu dem Logfile sagst, bevor ich weitermache.

Gruß und Danke schon mal vielmals,

Mona.
 

Anhänge

  • internet.txt
    5 KB · Aufrufe: 202

Franz

assimiliert
Das sieht ja schon ganz schön aus.
Wenn jetzt noch der IE das Update bekommt und der Virenscanner auch, dürfte der PC wieder sauber sein.

Den Eintrag

O14 - IERESET.INF: SEARCH_PAGE_URL=

kannst du noch mit HijckThis fixen, wenn du willst, ist aber nicht zwingend erforderlich.

Funktioniert der Internetzugang wieder?
Dickes Lob an Mona, das hast du super hinbekommen. :)

P.S.:Tipp für den Nachbarn: Finger weg von Shareprogrammen, wenn man nicht damit umgehen kann. ;)
 

Mona64

gehört zum Inventar
Hi,

danke fürs Lob. War auch richtig Arbeit für einen nicht-registry-Profi, aber eine Frage hab ich noch. Was ist mit den Resten von Zone Lab, die noch überall herumhängen, die müßten doch zuerst noch gelöscht werden, oder?

Und - mir ist sowas ähnliches vor Jahren mit einem anderen Virenscanner auch mal passiert, wußte damals noch gar nicht wie hartnäckig solche Teile sein können...

Gruß,

Mona.
 

Franz

assimiliert
Ja,
die Löschung des Wurms ist wirklich nicht ganz ohne.
Aber auch die Reste von ZA sollten gelöscht werden.
 

Mona64

gehört zum Inventar
Hi Arcanoa,

und da richte ich mich jetzt nach dem File aus dem anderen Thread wie das gelöscht wird also mit Registry und allem drum und dran? Dann würde ich das nämlich eventuell heute abend noch in Angriff nehmen.

Gruß,

Mona.
 

Mona64

gehört zum Inventar
Hallo Arcanoa,

jetzt hatte ich es beinahe, aber nur beinahe. Jedenfalls - nachdem ich den gesamten Löschprozeß wieder durchlaufen hatte und dachte, ich wäre endlich am Ziel (neuer IE ließ sich übrigens nicht aufspielen, da angeblich die neueste Version installiert wäre), erschien plötzlich eine neue Seite von Zone Lab und teilte mir dort mit, daß ich wohl versuchen würde Zone Labs zu löschen (man bedenke, das System hat es gemerkt) und man wolle mir jetzt Tips geben, wie ich das bewerkstelligen könne. Nett, oder?

Die Anweisung lautet:

1. Man solle den gesicherten Modus aufrufen (wie geht das nochmal mit F irgendwas).

2. Dann solle man dort die Registry Entry ändern: Man solle in regedit.exe gehen, dort solle man den Key w95/98/me/XP HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\vsdatA95 löschen.

3. Dann solle man VSDATA*.* suchen, wenn es Files wie VSDATA95 oder VSDATANT gäbe, solle man diese löschen.

Dann soll man Internet Logs löschen, ich glaube, das hab ich aber schon gemacht.

4. Dann soll man den Papierkorb löschen und den Computer normal hochfahren.

Jetzt soll man den Internetzugriff wieder haben

5. Dann soll man sich auf den Seiten von zonelabs einloggen, dort zu Support gehen, dann Technical Support und dann auf install/uninstall clicken. Dann solle man den Instruktionen dort folgen, um den Deinstallationsprozeß zu vervollständigen. Wenn irgendwas nicht erschiene, solle man zum nächsten Prozeß übergehen.

Dann gibt es noch ein paar Hinweise was man machen solle, falls man das ganze noch mal deinstallieren müsse. Interessiert?

---

Ach ja, es erschien auch wieder das File mit den 55 Fehlern, die gefunden worden wären, so daß registry etc. nicht ordentlich liefe.

Und - die Datei vsdatant.sys ließ sich wieder mal nicht löschen.

---

Neuen aktuellen Virenscanner hatte ich natürlich installiert, bevor es ins Internet ging.

---

Neues Hijack-File hätte ich auch noch, falls das benötigt wird.

Jetzt bin ich gespannt!

Gruß,

Mona.
 

Franz

assimiliert
Nicht nur du.

Hast du denn die Schritte alle durchgeführt?

Leider werde ich hier etwas leiser, weil ich ZA schon seit Jahren meide,
gerade wegen dieser ganzen Deinstallationsgeschichte.

Insgesamt hört sich der Vorgang recht abenteuerlich an, aber ein Versuch ist es allemal wert.
Immerhin ist es die Anleitung von Zone Labs.

Wo sind hier eigentlich die ganzen Zone Alarm - Jünger, wenn man sie mal braucht?

Wenn sich der IE nicht installieren läßt, weil bereits die aktuelle Version installiert sei,
stimmt entweder etwas mit dem Logfile nicht oder mit der installierten Version.
Sobald das Internet wieder einwandfrei funktioniert, kannst du die Aktualsierung des IE
auch über die Reparaturfunktion des Browsers vornehmen.

Allerdings würde ich trotz allem auf einen anderen Browser wechseln.
Frisch und zuverlässig sind hier vor allem Opera und Firefox.
 

Mona64

gehört zum Inventar
Hi,

ja, ich bin mir eigentlich sicher, daß ich alles richtig gemacht habe. Ich kann auch verstehen, daß es langsam nervt, aber ich kann nichts dran ändern. Wie gesagt, hatte mit was anderem auch schon mal das Problem und bin seither selbst vorsichtig.

Das mit den 55 Fehlern hatte ich ja auch schon nach dem ersten Versuch, wo ich auch alle Files entfernt hatte, allerdings war da nix mit der Deinstallierungsanzeige von Zone Alarm selbst.

Brauchst Du hijack.this noch?

Und wie komme ich nochmal in den abgesicherten Modus? Ich hab irgendwas von F5 oder so in Erinnerung.

Gruß,

Mona.

PS: Du hast schon recht, ist hier sonst keiner Profi auf dem Gebiet?
 
Oben