hoe kom ik van deze trojan af?

[hangmat]

Ik dacht dat het mij niet zou gebeuren, omdat ik altijd mijn virusscanner update en mijn systeem regelmatig op spyware doorzoek, maar helaas ben ik nu de gelukkige, ik heb een trojan (ik hoor het gejuich en het applaus al uit jullie kringen opstijgen).

Er is verder geen schade toegebracht aan mijn systeem omdat zonealarm een waarschuwing gaf als system32.exe probeerde met het internet contact te maken.

Het vervelende is dat deze trojan zich heeft vastgehecht aan system32.exe. Als norton deze file wil cleanen of quarantinen, gaat dat niet omdat deze in gebruik is.

Scan type: Manual Scan
Event: Virus Found!
Virus name: Backdoor.Sdbot
File: C:\WINDOWS\SYSTEM\System32.exe
Location: Quarantine
Computer: WIN98LITE
User: 1
Action taken: Clean failed : Quarantine failed :

Hoe kom ik toch van deze ****** af?

 

[chrisgeerdink]

Bekijk dit eens:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.g.html

 

[crash]

Er zijn geloof ik van de week een paar vragen over geweest;
Kijk hier eens;
http://www.helpmij.nl/forum/showthread.php?s=&threadid=116458
http://www.helpmij.nl/forum/showthread.php?s=&threadid=114139
http://www.helpmij.nl/forum/showthread.php?s=&threadid=116934&highlight=sdbot
http://www.helpmij.nl/forum/showthread.php?threadid=116937

Ik kan het fout hebben,
maar lees de tips van Pieter Arntz en Saldos eens door.

 

[hangmat]

Ik ga eens kijken. In het register staat niets, behalve dat system32.exe opgestart moet worden (lijkt me logisch). Mijn vraag is of ik die system32.exe nu zomaar kan (laten) verwijderen, want het is een essentieel bestand?

 

[hangmat]

Ik laat norton telkens scannen en system32.exe in quarantine plaatsen, maar bij opnieuw scannen vindt hij hem telkens weer opnieuw! Moet ik die system32 soms vanaf cd opnieuw op mijn systeem zetten? Vervangen, dus?

 

[hangmat]

Ik heb eens gescand in de veilige modus, en daarbij is het bestand blijkbaar helemaal verwijderd. Ik dacht, what the hell, delete permanently. Als ik nu zoek op het bestand system32, vind ik het ook niet meer. Toch start mijn pc gewoon op en doet hij niets raars. Blijkbaar is dat bestand toch niet zo essentieel voor mijn pc?

 

[nteusink]

IS system32.exe wel een windows bestand? Bij mijn win98se installatie komt het niet voor. Ik denk dat het gewoon een poging is van de trojan om te doen alsof het een onschuldig windows bestand is zodat het niet opvalt in de task manager.

 

[Pieter Arntz]

Klopt. Dat was gewoon het bestand waar het virus mee opstartte.

Misschien deze: http://www.kav.ch/avpve/worms/email/mari.stm

Groetjes,

Pieter

 

[hangmat]

Mijn virus was 14 Kb in grootte, dus dat klopt wel ongeveer. Het is denk ik wel aan te raden om de verwijzing ook uit de run key te halen, ook al is het bestand zelf niet meer aanwezig?

 

[Pieter Arntz]

Ja, anders levert het alleen maar foutmeldingen op.
Dit is wel een handig progje voor dat soort dingen.

Groetjes,

Pieter

 

[hangmat]

Okee bedankt iedereen! Ik heb de bestanden in veilige modus kunnen verwijderen en ik heb nu geen problemen meer.

 

[saldos]

hangmat,

Voor in de toekomst moet je dit weten: Een trojan kan geen windows bestanden infecteren (maar een virus kan dat wel). Dat betekend als virus scanner een trojan vind, dan mag je die altijd zonder twijfel verwijderen, want het is de trojan zelf dus.