WORM_SDBOT.BWH (ms32.exe)

Dieses Thema WORM_SDBOT.BWH (ms32.exe) im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Konstanze, 18. Sep. 2005.

Thema: WORM_SDBOT.BWH (ms32.exe) Hilfe!!!!!!! Ich habe einen Virus auf dem PC, der alles mögliche anstellt - was kann ich tun? Vom Virenprogramm...

  1. Hilfe!!!!!!! Ich habe einen Virus auf dem PC, der alles mögliche anstellt - was kann ich tun? Vom Virenprogramm lässt er sich zwar finden, aber nicht löschen. Folgende Infos hab ich dazu gefunden:

    WORM_SDBOT.BWH

    Type: Worm
    Aliases: W32.Spybot.Worm, W32/Sdbot.worm
    In the wild: Yes
    Destructive: No
    Language: English
    Platform: Windows 98, ME, NT, 2000, XP
    Encrypted: No
    Characteristics: C2X
    Overall risk rating
    Low

    Reported infections:
    Low
    Damage potential:
    High
    Distribution potential:
    High


    Description:
    This worm spreads by dropping copies of itself into accessible network shares. It also takes advantage of the following Windows vulnerabilities to propagate:
    ? Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
    ? LSASS vulnerability
    For more information about these vulnerabilities, please refer to the following Microsoft Web pages:
    ? Microsoft Security Bulletin MS03-026
    ? Microsoft Security Bulletin MS04-011
    This worm also has backdoor capabilities, and may execute commands coming from a remote malicious user. It also performs distributed denial of service (DDoS) attacks against target sites.

    Description created: 2005-05-18
    Description updated: 2005-05-18
    Kann mir jemand helfen? Leider bin ich bei Computerfragen ziemlich hilflos, deswegen dankbar für jeden Tipp!!!

    Konstanze

    verschoben von Windows XP
     
  2. Moin,

    wo wird er denn gefunden? Bitte genauen Pfad angeben. Eventuell dazu das Logfile Deines Antivirenprogrammes zu Rate ziehen.

    Bitte auch Dein Betriebssystem inklusive aktuellem Patchlevel nennen.
     
  3. Hallo Konstanze, ich habe dank Deines Beitrages auch diesen Wurm gefunden. Die Datei w32.exe war im Root von c: und der Effekt war, dass ein Dialer (generic.dialer) mit dem Namen accesso installiert wurde, der die bestehende DFÜ-Verbindung unterbrach und selbst neu wählte. Auch in der Registry hat er sich eingetragen unter RUN (mit regedit suchen und Schlüssel löschen). Gruß Dieter