Backdoor Sdbot

[Elisa]

Hallo,
10 augustus 2003 zag ik
C:\Windows\System32\iexplore32.exe.tc3
De Cleaner meldde:
Filename Trojan Action
------ ------
C:\WINDOWS\system32\iexplore32.exe sdbot Cleaned (Backup)

Nu kreeg ik gister bij Symantec weer dezelfde voorgeschoteld.
C:\WINDOWS\system32\iexplore32.exe.tc3 is infected with Backdoor.Sdbot


Ik heb al die tijd gedacht dat die tc3 van The Cleaner was.
Of zit ik goed fout?

 

[Bennie]

Dat bestand is duidelijk een virus. (En als je geen typfouten hebt gemaakt, zijn er zelfs twee bestanden besmet).

Groetjes,
Bennie

 

[Elisa]

Het duurde even maar ik zag em. Nee, ook explore.
Wel zag ik daarnet als ik er op ging staan :
Type Trojan invested file. Gewijzigd op 19/7-2003
Heb ik een maand met een trojan rondgelopen! Ondanks zoveel controles

The Cleaners icoontje staat er nu trouwens voor.
Misschien iets nieuws van TC.

Hoe kan nou iets 'aangesproken' worden als ter tc3 achter staat. Lijkt me van niet. Zo zet ik ook vaak bestanden even weg.

Of ken jij de exacte regel als een trojan? Die kan ik nergens vinden met google.

 

[Elisa]

Ik heb al die tijd gedacht dat die tc3 van The Cleaner was.

Heeft iemand de Cleaner dan?

 

[hehe]

Volgens mij is tc3 het "archief "van de cleaner.
Vermoedelijk moet je ergens een optie uitzetten in cleaning...staat misschien make backups aangevinkt?

 

[Elisa]

De Cleaner had het over Cleaned.
Daarna kwam die toevoeging van tc3.
Kan ik er dan van uitgaan de ik van die trojan verlost ben? Of zit dat ding nog steeds in dat file (welliswaar opgesloten door tc3.

Waarom zou Symantec anders weer een trojan aangeven? Het vreemde is dat de Cleaner nu niets vind. Ook AdAware en Housecall niet.
Ik vind het nogal verwarrend.

 

[nteusink]

Volgens mij is het inderdaad zo dat the cleaner geinfecteerde bestanden hernoemt naar .tc3 en daarna bestanden met die extensie niet meer scant. Hij verwijdert de trojan dus niet maar maakt m onschadelijk.

NAV scant echter alle bestanden en daardoor komt dit (inactieve) backup bestand ook weer boven water.
Je kan hem als het goed is gewoon via de verkenner verwijderen.

 

[gezina]

Volgens mij is die trojan dan idd gecleaned: "[Q101] I cleaned a trojan but it is detected again when I scan. Make sure files ending with .TC3 are ignored via Options|Scanning"

http://www.moosoft.com/thecleaner/faq.php#Q001

 

[Elisa]

Dank jullie voor je reactie. Het zou met wel een prettig gevoel hebben gegeven.
Het was voor het eerst dat ik dit meemaakte.

Toch was het al te laat op de een of andere manier.
virusscanner en firewall werden uitgeschakeld. Verwijderen lukte niet omdat ik een wachtwoord moest geven...........en daar kon ik niet bij.
Msconfig gaf me alleen nog maar de uitgevinkte opstarters en ik was niet capable om die terug te zetten.
Klap op de vuurpijl was het feit dat ik plotseling niets meer kon uitrichten als administrator.
De Supervisor had het overgenomen.
Midden in de nacht heb ik woedend gezegd: Rot op en gaf format C:

Maar.......206.204.10.201,22 probeert nog steeds al mijn poorten uit en ik voel me niet veilig.
Zou iemand naar Hijackthis willen kijken? Hier krijg ik nou echt de zenuwen van.

Ik heb nog niet alles op orde dus antwoorden kunnen even op zich laten wachten.

 

[nteusink]

security.symantec.com == [206.204.10.201]

Was je toenvallig op dat moment een symantec security scan aan het doen? Dan kan dat inderdaad kloppen.
Niks om je zorgen over te maken dus.

 

[Elisa]

Jeetje, dat scheelt weer Ik zit constant bij dat soort sites.

Ik heb nu in het register de twee volgende gevonden onder:

Hkey users<Software< Microsoft<Search assistent\5603
standaard (geen waarde ingesteld)
000 qazwsx
001 note.com
002 alcandis.inf (Iets van Alcatel verbinding????)

Heb ik nou wel beet? Ik heb het gevoel dat 'het' nog op mijn pc zit

Deze gegevens las ik toevallig:
We found some odd things on this system. The first is, notepad.exe was running and showed up in the registry, but not in the task manager. It was run with an odd filename: qazwsx.hsq. This file did not exist on the system. (And running a find for it took _far_ less time than it should have, so I think something else was messed with as well.)

 

[Bennie]

Dat zijn op z'n minst de restjes van een virus. Kijk hier. Post maar ff een Hijackthislog.

Groetjes,
Bennie

 

[Elisa]

Hijackthis staat een paar berichten naar boven.
Ik ben blij dat je reageert. Zit me allemaal niets lekker.

 

[Bennie]

Oeps...overheen gelezen. In je log heb ik geen nare dingen zien staan. Er zou dan hebben gestaan:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\startIE="notepad.exe qazwsx.hsq.

Waarschijnlijk heeft dat virus er wel ooit op gestaan, maar is het verwijderd. Alleen is er nog een verwijzing in het register achtergebleven. Je kunt Regcleaner runnen:
http://www.macecraft.com/

alcandis.inf is van de modem inderdaad.

Groetjes,
Bennie

 

[Elisa]

Ja maar.....ik heb net mijn schijf geformatteerd.
Alles gecontroleerd bij Housecall en Symantec voordat het de pc op ging.
En dan nog restjes? Ik krijg nu helemaal de kriebels

Denk je dat ik die (enige) verwijzingen in het register kan wippen?
Meer stond er niet in.

Trouwens, even off topic, heb je boekjes waar je ruwweg wat van het register kunt opsteken?
Dat gerun, keys en nullen zegt me totaal niets.

 

[Bennie]

Maar waar heb jij die tekst in rood vandaan? Dat heeft mij namelijk op het spoor gebracht van dat virus. Was dat een programma op je PC?

Wat het register betreft:
http://www.comcol.nl//bestel/bicw80_i.htb#5302e

Uitleg:
http://www.annoyances.org/exec/show/registry
http://www.winguides.com/article.php?id=1&guide=registry

Groetjes,
Bennie

 

[Elisa]

Bedankt voor die linken!

Dat bericht in het rood vond ik toen ik met Google naar meer gegevens zocht over trojan Backdoor.sdbot.

Op de een of andere manier 'voelt' mijn pc niet goed aan. Er gebeuren vreemde dingen. Tijdens opstarten zie ik bv updating eskd succes (kan ook escd zijn volgens iemand hier) Ik heb nog geen belangrijke dingen geinstalleerd. Zit met frisse windows en een paar noodzakelijk progjes.
Het systeem is al drie keer tijdens opstarten hersteld van ernstige fout.
Tijdens een normale handeling krijg ik plots een schermpje van windows dat er een belangrijke *.sys is gewijzig. Ik moet de cd er in doen. Doe ik dat dan gebeurt er niets
Ik ben dus bang dat ik, ondanks controles van floppy's en cd's toch weer iets terug heb gezet.

Wat een verhaal, dit nog: Notepad.exe ging vroeger ook wel de deur uit als notecom.
Ik zoek in mijn mans account even die tread op. BRB

 

[Elisa]

Duurde even.

Deze tread

 

[Elisa]

Nteusink,

Vind je het gek dat ik dat IP nummer naar de beperkte zone verhuisde?
Dit was trouwens een log van 1 dag.
Best wel veel 'contacten'.

Dit is een leuke voor Saldos