Supportnet / Forum / WindowsXP
systemzeit verstellt sich/ wurm sdbot.39936.B
Frage
hallo leute,
ich bin neu hier, habe dieses forum per suchmaschine gefunden. ich versuche mal auf diesem weg, eine lösung für mein problem zu finden, bisher blick ich als nicht soo dolles computergenie nicht durch. hier scheinen ein paar leute an bord zu sein die sich auskennen..
seit ein paar tagen verstellt sich die systemzeit ständig bei meinem XP professional (alles upgedatet und akztuell), aber ganz chaotisch, hat nix mit batterie oder sowas zu tun weil es auch bei laufendem betrieb passiert. weiters kriege ich häufig meldungen von unzustellbaren mails in outlook express, die ich aber gar nicht geschickt habe und die auch nicht in gesendete objekte aufscheinen.
hab gleich kombiniert: wurm an bord, und der neueste update von AV brachte dann den oben erwähnten wurm zutage. AVpersonal schafft es aber nicht, die infizierte datei win32sockdrv.dll zu löschen. bei jedem versuch hängt sich bloß ein .vir an den filenamen an. was tun? udn häbgt das mit der systemzeit dmait zusammen?
wenn jemand einen tipp hätte, auch per e-mail, wäre ich dankbar...
lg, manuela
Antwort 1 von Meerrettich
Hi,
der Wurm sdbot.39936 heisst auch noch spybot.az
Unter diesem Link findest Du weitere Infos und eine Anweisung zum Entfernen des Ungeziefers.
http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail....
Gruss
Meerrettich
der Wurm sdbot.39936 heisst auch noch spybot.az
Unter diesem Link findest Du weitere Infos und eine Anweisung zum Entfernen des Ungeziefers.
http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail....
Gruss
Meerrettich
Antwort 2 von Mickey
Deine Datei win32sockdrv.dll wird unter anderem von einem Wurm RPCSDBOT.A abgelegt, taucht aber auch im Zusammenhang mit den Würmern Blaster und Lovesan aus.
Deaktiviere deine Systemwiederherstellung, starte im abgesicherten Modus, nimm da einen Scan vor und prüf alle aufgeführten Pfade manuell, scan nach einem Neustart nochmals, dann aktiviere eine eventuell vorhandene Firewalll (oder die XP interne) und geh dann hier oben in den SN News diesen Artikel durch.
Im Update vom 31.12.03 ff. findest du zusammengefasst alle Infos zu Patches die dir evtl. noch fehlen.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Deaktiviere deine Systemwiederherstellung, starte im abgesicherten Modus, nimm da einen Scan vor und prüf alle aufgeführten Pfade manuell, scan nach einem Neustart nochmals, dann aktiviere eine eventuell vorhandene Firewalll (oder die XP interne) und geh dann hier oben in den SN News diesen Artikel durch.
Im Update vom 31.12.03 ff. findest du zusammengefasst alle Infos zu Patches die dir evtl. noch fehlen.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 3 von guest
Die Umbenennung der Datei (in diesem Fall der win32sockdrv.dll) bzw. das Anhängen einer kennzeichnenden Erweiterung (in diesem Fall .vir) ist eine Methode die ungewollte Ausführung der Datei zu verhindern.
Die so gekennzeicheten Dateien können dann nach Bedarf, Können, Lust und Laune analysiert werden. Insofern ist das Umbenennen einem unkontrollierten Löschen vorzuziehen.
Die so gekennzeicheten Dateien können dann nach Bedarf, Können, Lust und Laune analysiert werden. Insofern ist das Umbenennen einem unkontrollierten Löschen vorzuziehen.
Antwort 4 von _manuela
vielen dank an alle für die tipps. die datei ist jetzt auch aus dem infected ordner von AVpersonal verschwunden, es kommt aber jedesmal nach dem hochfahren eine meldung von AV, es sei eine verdächtige datei gefunden worden (ohne namensangabe)und was denn damit geschehen soll. ich klicke auf löschen - aber beim nächsten hochfahren ist es wieder dasselbe.
na gut, hab systemwiederherstellung desaktiviert - meldung kommt trotzdem. werde mal schrittweise alle tipps durchgehen um zu sehen was ich vergessen habe. danke auch für die info dass andere viecher die datei auch verwenden...
werde dann berichten.
lg, manuela
na gut, hab systemwiederherstellung desaktiviert - meldung kommt trotzdem. werde mal schrittweise alle tipps durchgehen um zu sehen was ich vergessen habe. danke auch für die info dass andere viecher die datei auch verwenden...
werde dann berichten.
lg, manuela
Antwort 5 von Mickey
(...)...danke auch für die info dass andere viecher die datei auch verwenden......(...)
Die Datei wird nicht verwendet, sondern erzeugt! Also nicht das du die zur weiteren "Verwendung" im System belässt.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Die Datei wird nicht verwendet, sondern erzeugt! Also nicht das du die zur weiteren "Verwendung" im System belässt.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 6 von _manuela
oh.. hab mich wohl unpräzise ausgedrückt, danke jedenfalls!
stand der dinge: hab alle updates&patches, finde keine verdächtigen prozesse im task manager, keine verdächtigen dateien in system 32 - AV scan findet auch nichts. systemwiederherstellung ist desaktiviert, trotzdem kriege ich die meldung 'verdächtige datei gefunden' von AV personal immer nach dem hochfahren. es ist immer die bewusste win32sockdrv.dll, lässt sich auch aus dem infected order löschen - kommt aber immer wieder *grrmbl*
und die systemzeit verstelt sich nach wie vor!
lästig das ganze - ansonsten keien symptome, system wird nicht langsamer auch keine sonstigen probs so weit ich das beurteilen kann :-((
falls euch was einfällt... bin für jeden tipp dankbar.
lg, manuela
stand der dinge: hab alle updates&patches, finde keine verdächtigen prozesse im task manager, keine verdächtigen dateien in system 32 - AV scan findet auch nichts. systemwiederherstellung ist desaktiviert, trotzdem kriege ich die meldung 'verdächtige datei gefunden' von AV personal immer nach dem hochfahren. es ist immer die bewusste win32sockdrv.dll, lässt sich auch aus dem infected order löschen - kommt aber immer wieder *grrmbl*
und die systemzeit verstelt sich nach wie vor!
lästig das ganze - ansonsten keien symptome, system wird nicht langsamer auch keine sonstigen probs so weit ich das beurteilen kann :-((
falls euch was einfällt... bin für jeden tipp dankbar.
lg, manuela
Antwort 7 von sasch
antwort 1 !!!
Antwort 8 von Mickey
hast du (siehe Link in A2) auch deine System.ini und die Registrypfade geprüft?
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 9 von _manuela
danke dass ihr mir helft.
@sasch: das von antowrt 1 hab ich alles gemacht. schon bevor ich hier postete.
@mickey: registry pfade hatt ich gecheckt, aber bei nochmaligem lesen des artikels ist mir aufgefallen, dass unter HKLM.... WinNT ein eintrag Shell = explorer.exe nstask32.exe lauten kann, den hab ich dann prompt auch gefunden. der muss wohl gelöscht werden oder?
ich hab erst nicht nachgeschaut unter NT, weil ich ja XP verwende und dachte das NT sei eine andere version - naja, da könnte sich der wurm versteckt haben!
vor mir hat ers ja nicht schwer ;-)
@sasch: das von antowrt 1 hab ich alles gemacht. schon bevor ich hier postete.
@mickey: registry pfade hatt ich gecheckt, aber bei nochmaligem lesen des artikels ist mir aufgefallen, dass unter HKLM.... WinNT ein eintrag Shell = explorer.exe nstask32.exe lauten kann, den hab ich dann prompt auch gefunden. der muss wohl gelöscht werden oder?
ich hab erst nicht nachgeschaut unter NT, weil ich ja XP verwende und dachte das NT sei eine andere version - naja, da könnte sich der wurm versteckt haben!
vor mir hat ers ja nicht schwer ;-)
Antwort 10 von Mickey
Windows XP basiert als Nachfolger von W2K auf Windows NT.
Doppelklick auf den Namen shell - und dann im Fenster den Eintrag nstask32.exe löschen (und nur den!).
Hinterher solltest du nur noch
Shell REG_SZ Explorer.exe
stehen haben.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Doppelklick auf den Namen shell - und dann im Fenster den Eintrag nstask32.exe löschen (und nur den!).
Hinterher solltest du nur noch
Shell REG_SZ Explorer.exe
stehen haben.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 11 von _manuela
danke mickey, hab ich gemacht - hoffentlich richtig - bei mir steht jetzt als name Shell dann REG_SZ dann als wert explorer.exe, der binäre wert sind lauter nullen.... glaubst du das ist ok?
in system32 hab ich dan die dazugehörige nstask32.exe gefunden und gelöscht.
na das wirds wohl hoffentlich gewesen sein!
lg, manuela
in system32 hab ich dan die dazugehörige nstask32.exe gefunden und gelöscht.
na das wirds wohl hoffentlich gewesen sein!
lg, manuela
Antwort 12 von Mickey
So sollte es das gewesen sein. Wie kommst du auf die Binärdaten? Lauter Nullen solltest du sehen wenn als Wert absolut "nichts" angegeben ist.
Ansonsten teste mal wie dein System jetzt läuft, und denk dran die Systemwiederherstellung wieder zu aktivieren.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Ansonsten teste mal wie dein System jetzt läuft, und denk dran die Systemwiederherstellung wieder zu aktivieren.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 13 von _manuela
stimmt was du sagst, jetzt es sind es nicht nur lauter nullen, da hatte ich mich verschaut.. stehen paar zahlen da und Explorer.exe, sollte also passen, neustart ist auch geschafft - un ddie meldung von AntiVir ist weg!! geschafft, na endlich!
nur dumm dass ich mich für die hilfe nicht revanchieren werd können : -{
aber mic, falls du mal was auf franzöisch oder spanisch wissen willst, mail mir!
nur dumm dass ich mich für die hilfe nicht revanchieren werd können : -{
aber mic, falls du mal was auf franzöisch oder spanisch wissen willst, mail mir!