WORM_SDBOT.DAS und wie bekomme ich den weg?

Franz

assimiliert
In den abgesicherten Modus kommst du über F5 während des Bootvorganges, das ist richtig.
Den abgesicherten Modus kannst du mit oder ohne Netzwerktreiber starten.

Hier wird es dann auch möglich sein, alle Dateien zu löschen.
Schrieb das Supi nicht in seinem Tutorial?
(Hab's nicht ganz durchgelesen).
 

Mona64

gehört zum Inventar
Hi,

nein von abgesicherter Modus hatte ich bisher noch nichts gelesen, hab es allerdings in anderen Foren inzwischen mal gesehen. Es scheint ja jede Menge zu geben, die sich mit der Deinstallation herumgeärgert haben...

Anbei nochmal hijack. Was mich daran irritiert, ist der TrueVector, der unten steht. Ich denke, ich hab alles gelöscht. *grummel*

Gruß,

Mona.


Logfile of HijackThis v1.99.1
Scan saved at 19:19:37, on 01.02.2007
Platform: Windows 2000 SP2 (WinNT 5.00.xxx)
MSIE: Internet Explorer v5.00 SP2 (5.00.xxx.xxxx)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Program Files\ScanPanel\ScnPanel.exe
C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Digitale Telefonauskunft\Digitale Telefonauskunft 2005\KSTART32.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\7-Zip\7zFMn.exe
C:\Programme\7-Zip\7zFMn.exe
C:\Programme\7-Zip\7zFMn.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Temp\HijackThis_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Tiscali Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Tiscali Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Tiscali Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Tiscali
O2 - BHO: SuperAdBlockerBHO Class - {endlos lange Nummer} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 - BHO: AcroIEHlprObj Class - {endlos lange Nummer} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {endlos lange Nummer} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {endlos lange Nummer} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Super Ad Blocker Toolbar - {endlos lange Nummer} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
O4 - Global Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Digitale Telefonauskunft 2005 - Schnellstarter.lnk = C:\Programme\Digitale Telefonauskunft\Digitale Telefonauskunft 2005\KSTART32.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {endlos lange Nummer} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {endlos lange Nummer} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {endlos lange Nummer} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {endlos lange Nummer} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {endlos lange Nummer} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {endlos lange Nummer} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {endlos lange Nummer} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: SABWinLogon - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - (no file)
 

Franz

assimiliert
Den Eintrag fixed du einfach mit Hijackthis.
Scannen -> mit einem Haken markieren - > "Fix checked" anklicken und bestätigen.
Und bitte auch:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Was mir auch noch auffällt, ist die Gegenwart von 2 Antispy - Programmen (Spybot + SuperAdBlocker)
Beide gemeinsam auf einem PC habe ich noch nicht getestet.
Hier könnten u.U. Schwierigkeiten auftreten.
Eines der beiden reicht vollkommen aus, und da SuperAdBlocker nicht umsonst ist...

Inzwischen scheint der PC soweit wieder sauber zu sein -
Hut ab vor deiner Geduld und Leistung. (y)

Viele hätten schon längst zähneknirschend das Betriebssystem erneuert.

Gamma-Ray stellt übrigens gerade ein kleines Tool vor, das gar nicht mal so schlecht ist.
Es sammelt alle verwaisten Dateien und Einträge in Ordnern und der Regisitry und entfernt sie auf Wunsch.
Da du ZA nicht mehr installiert haben möchtest, könnte das Programm die mit einem Mausklick alle Arbeit abnehmen.

Wenn du vsdatant.sys immer noch nicht löschen konntest, brauchst du auch nicht in den abgesicherten Modus.
Hier hilft ein weiteres Werkzeug, das sich Unlocker nennt.
Damit kannst du die Datei auch im normalen Modus bequem löschen.
 

Mona64

gehört zum Inventar
Hallo Arcanoa,

begeisterte Grüße sende ich Dir heute. Dein Tip mit dem Unlock war Gold wert und die Datei konnte tatsächlich gelöscht werden. Danach Papierkorb gelöscht, Computer neu gebootet, er fuhr hoch und erlaubte einen Internetzugriff. Keine Seite mehr von Zone Labs nix, Seiten normal abrufbar. Ich bin entzückt und mein Nachbar erst...

Von daher möchte ich Dir wirklich von Herzen für diese ganze Hilfestellungen danken. Ich hatte ja auch schon mal woanders gepostet, aber von Deiner Seite kam wirklich die meiste Unterstützung danke!

Du hast recht, es wäre manchmal einfacher neu aufzuspielen, aber das mache ich auch nicht wirklich häufiger als mich in Registrys zu begeben und bedeutet für mich die gleiche Arbeit:D

Aber - ein kleines Problem gibt es noch auf dem PC. Das Schild mit den 55 Fehlern in der Registry blinkt beim Gang ins Internet noch auf und fordert dazu auf eine Seite von www.regitfix.de oder so ähnlich zu gehen und dort eine aktuelle Registry runterzuladen, der installierte AntiVir (Anmerkung dazu: nicht Search & Destroy, den anderen hab ich zwischenzeitlich gelöscht) zeigt sich nicht rechts unten, obwohl er permanent überwacht und die drei Sachen, die im hijackthis auftauchen, siehe Dein letztes Post, lassen sich partout nicht löschen. Fixen im Hijack, das hab ich verstanden, aber beim nächsten Logfile sind sie wieder da.

Dagegen würde ich ja bei Gelegenheit und es etwas langsamer angehen lassend noch gerne etwas tun.

Gruß,

Mona.

(y) ;) :D
 

Franz

assimiliert
Dann hast du noch eine Malware auf dem PC, zumindest sagt mir das die
Meldung, daß du dich verbinden sollst.

Leider hat das nichts mit Viren zu tun. Siondern ist reine Spyware.
Hier sollte der SuperAdBlocker gute Dienste machen.
Schade daß du dich von Spybot getrennt hast.
Ein Update seiner Datenbank und er hätte die Spyware auch eleminieren können.

Ein Versuch ist es wert.

Keine Gedanken brauchst du dir übrigens über die angeblichen 55 Fehler in der
Registry zu machen. Wenn ich meine anschaue, sind es sicher ein paar hundert Fehler.

Ansonsten freue ich mich, wenn alles so gut geklappt hat. :)
 

Mona64

gehört zum Inventar
Hi Arcanoa,

ich habe Super AdBlocker entfernt, Spybot ist noch da. Ich werde nicht ganz schlau aus Deinem Posting, ich dachte AdBlocker soll runter, weil er kostet und Spybot solle bleiben. Kann er jetzt das Problem lösen?

Gruß,

Mona.

PS: Ich bin auch begeistert und bestimmt zehn Zentimeter gewachsen!
 

Franz

assimiliert
Oops,
sorry, das hatte ich falsch gelesen.
Passiert manchmal im Eifer des Gefechts. :angel

Spybot läßt du scannen, er zeigt dir alle Spyware Einträge an,
die du dann nur markieren brauchst, den Rest erledigt das Programm. :)
 

Mona64

gehört zum Inventar
Hi,

da bin ich wieder. Hab Search & Destroy nochmal drüberlaufen lassen und er hat einige Dinge gefunden und gelöscht. 55 Fehler Meldung der Registry ist spurlos verschwunden, keine Ahnung wohin und der PC läuft, wenn auch die Einwahl ins Internet, aus welchen Gründen auch immer, nur über Outlook funktioniert.

Von daher kann der Nachbar wieder rein und alle sind (hoffentlich) zufrieden und ich möchte mich für die freundliche Hilfe noch einmal aufs herzlichste bedanken.

Gruß,

Mona.
 
Oben