Kann Virus ?Backdoor.SDBOT.XD? nicht entfernen ? wer kann mir helfen

Hallo,

ich habe einen Virus auf meinem PC ?Backdoor.SDBOT.XD? (ist wohl auch unter den Namen ?Trojan-Downloader.Win32.Agent.aio [Kaspersky]? und ?Backdoor.Win32.Sd.? bekannt)

Wenn ich mit dem PC online bin, fährt er ständig runter. Ich bekomme eine Meldung

Nachricht: ?Der Systemprozess C:\WINNT\System32\services.exe wurde unerwarteter Weise mit dem Statuscode 128 beendet. Das System wird heruntergefahren und neu gestartet.?

Ich habe bereits diverse Antivirenscanner (Sophos, Antivirus, Ewido, Ad-aware) ohne Erfolg drüberlaufen lassen. Alle finden nichts. Jetzt habe ich das Programm ?Spyware Doctor? runtergeladen. Dieser Scanner findet Einträge in der Registry und sagt mir, ich habe den Virus ?Backdoor.SDBOT.XD? drauf. Habe aber nur ein Demo-Version von Spy Doctor, darum kann ich die Einträge nicht löschen. Ich habe bereits versucht, die Einträge manuell zu löschen, doch das wird mir vom System verweigert.


Die Einträge in der Registry befinden sich unter folgenden Pfaden:

HKEY_Local_Machine\System\ControlSet001\Enum\Root\Legacy_WIN32Kernel
HKEY_Local_Machine\System\ControlSet001\Enum\Root\Legacy_WIN32Kernel\0000

HKEY_Local_Machine\System\ControlSet002\Enum\Root\Legacy_WIN32Kernel
HKEY_Local_Machine\System\ControlSet002\Enum\Root\Legacy_WIN32Kernel\0000

HKEY_Local_Machine\System\CurrentControlSet\Enum\Root\Legacy_WIN32Kernel
HKEY_Local_Machine\System\CurrentControlSet\Enum\Root\Legacy_WIN32Kernel\0000



Wer kann mir helfen ??? Bin für jede Hilfe dankbar.

Ciao,
Frank :

JasonBranch schrieb:

Wenn ich mit dem PC online bin, fährt er ständig runter.

Zum Vergrößern anklicken....

mit shutdown -a kannst du das verhindern ... lass mal jijackthis laufen und poste das log hier rein, dann kann man eventuell weiterhelfen ...

greetz

hugo

hi hugo,

anbei mein hijack logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:03:32, on 03.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\system32\stisvc.exe
D:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
D:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Netscape\Netscape 6\Netscp.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\IEEE 802.11g Wireless LAN Utility\wlanIG.exe
D:\Programme\Sophos SWEEP for NT\ICMON.EXE
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\winsock\csrss.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Mozilla Quick Launch] D:\Programme\Netscape\Netscape 6\Netscp.exe -turbo
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: IEEE 802.11g Wireless LAN Utility.lnk = C:\Programme\IEEE 802.11g Wireless LAN Utility\wlanIG.exe
O4 - Global Startup: InterCheck Monitor.LNK = D:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: p6_Erinnerung.lnk = D:\Programme\phase6\phase6demo_V1_5\WinStart\WinStart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/286fa6fd77e243c92c16/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147429740344
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4774/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF033DF9-7713-446B-BACD-85FAD132BB58}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA50307A-9E5B-40A4-B3B0-F7CDB2B247DA}: NameServer = 192.168.162.129,141.51.8.4
O19 - User stylesheet: C:\WINNT\sample.txt
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DKW Heavy Industries VPN Adapter. Service (CIPE_Daemon) - Unknown owner - C:\WINNT\System32\cipsrvr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - D:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - D:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS


thx for help, frank

bitte verwende das aktuelle hijackthis (v.1.99.1), kannst du hier http://www.wintotal.de/Software/index.php?rb=31&id=2022 downloaden, dann das log hier www.hijackthis.de auswerten lassen. das aktuelle log kannst du auch nochmal hier reinposten. alles was als unbekannt angezeigt wird, solltest du prüfen. auch ist dein system nicht auf dem neuesten stand, starte mal den autoupdate und lass das system patchen ...

greetz

hugo