Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

systemzeit verstellt sich/ wurm sdbot.39936.B





Frage

hallo leute, ich bin neu hier, habe dieses forum per suchmaschine gefunden. ich versuche mal auf diesem weg, eine lösung für mein problem zu finden, bisher blick ich als nicht soo dolles computergenie nicht durch. hier scheinen ein paar leute an bord zu sein die sich auskennen.. seit ein paar tagen verstellt sich die systemzeit ständig bei meinem XP professional (alles upgedatet und akztuell), aber ganz chaotisch, hat nix mit batterie oder sowas zu tun weil es auch bei laufendem betrieb passiert. weiters kriege ich häufig meldungen von unzustellbaren mails in outlook express, die ich aber gar nicht geschickt habe und die auch nicht in gesendete objekte aufscheinen. hab gleich kombiniert: wurm an bord, und der neueste update von AV brachte dann den oben erwähnten wurm zutage. AVpersonal schafft es aber nicht, die infizierte datei win32sockdrv.dll zu löschen. bei jedem versuch hängt sich bloß ein .vir an den filenamen an. was tun? udn häbgt das mit der systemzeit dmait zusammen? wenn jemand einen tipp hätte, auch per e-mail, wäre ich dankbar... lg, manuela

Antwort 1 von Meerrettich

Hi,

der Wurm sdbot.39936 heisst auch noch spybot.az

Unter diesem Link findest Du weitere Infos und eine Anweisung zum Entfernen des Ungeziefers.

http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail....

Gruss

Meerrettich

Antwort 2 von Mickey

Deine Datei win32sockdrv.dll wird unter anderem von einem Wurm RPCSDBOT.A abgelegt, taucht aber auch im Zusammenhang mit den Würmern Blaster und Lovesan aus.

Deaktiviere deine Systemwiederherstellung, starte im abgesicherten Modus, nimm da einen Scan vor und prüf alle aufgeführten Pfade manuell, scan nach einem Neustart nochmals, dann aktiviere eine eventuell vorhandene Firewalll (oder die XP interne) und geh dann hier oben in den SN News diesen Artikel durch.
Im Update vom 31.12.03 ff. findest du zusammengefasst alle Infos zu Patches die dir evtl. noch fehlen.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©


Antwort 3 von guest

Die Umbenennung der Datei (in diesem Fall der win32sockdrv.dll) bzw. das Anhängen einer kennzeichnenden Erweiterung (in diesem Fall .vir) ist eine Methode die ungewollte Ausführung der Datei zu verhindern.

Die so gekennzeicheten Dateien können dann nach Bedarf, Können, Lust und Laune analysiert werden. Insofern ist das Umbenennen einem unkontrollierten Löschen vorzuziehen.

Antwort 4 von _manuela

vielen dank an alle für die tipps. die datei ist jetzt auch aus dem infected ordner von AVpersonal verschwunden, es kommt aber jedesmal nach dem hochfahren eine meldung von AV, es sei eine verdächtige datei gefunden worden (ohne namensangabe)und was denn damit geschehen soll. ich klicke auf löschen - aber beim nächsten hochfahren ist es wieder dasselbe.

na gut, hab systemwiederherstellung desaktiviert - meldung kommt trotzdem. werde mal schrittweise alle tipps durchgehen um zu sehen was ich vergessen habe. danke auch für die info dass andere viecher die datei auch verwenden...

werde dann berichten.

lg, manuela

Antwort 5 von Mickey

(...)...danke auch für die info dass andere viecher die datei auch verwenden......(...)

Die Datei wird nicht verwendet, sondern erzeugt! Also nicht das du die zur weiteren "Verwendung" im System belässt.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 6 von _manuela

oh.. hab mich wohl unpräzise ausgedrückt, danke jedenfalls!

stand der dinge: hab alle updates&patches, finde keine verdächtigen prozesse im task manager, keine verdächtigen dateien in system 32 - AV scan findet auch nichts. systemwiederherstellung ist desaktiviert, trotzdem kriege ich die meldung 'verdächtige datei gefunden' von AV personal immer nach dem hochfahren. es ist immer die bewusste win32sockdrv.dll, lässt sich auch aus dem infected order löschen - kommt aber immer wieder *grrmbl*

und die systemzeit verstelt sich nach wie vor!
lästig das ganze - ansonsten keien symptome, system wird nicht langsamer auch keine sonstigen probs so weit ich das beurteilen kann :-((

falls euch was einfällt... bin für jeden tipp dankbar.

lg, manuela

Antwort 7 von sasch

antwort 1 !!!

Antwort 8 von Mickey

hast du (siehe Link in A2) auch deine System.ini und die Registrypfade geprüft?

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 9 von _manuela

danke dass ihr mir helft.

@sasch: das von antowrt 1 hab ich alles gemacht. schon bevor ich hier postete.

@mickey: registry pfade hatt ich gecheckt, aber bei nochmaligem lesen des artikels ist mir aufgefallen, dass unter HKLM.... WinNT ein eintrag Shell = explorer.exe nstask32.exe lauten kann, den hab ich dann prompt auch gefunden. der muss wohl gelöscht werden oder?

ich hab erst nicht nachgeschaut unter NT, weil ich ja XP verwende und dachte das NT sei eine andere version - naja, da könnte sich der wurm versteckt haben!
vor mir hat ers ja nicht schwer ;-)



Antwort 10 von Mickey

Windows XP basiert als Nachfolger von W2K auf Windows NT.
Doppelklick auf den Namen shell - und dann im Fenster den Eintrag nstask32.exe löschen (und nur den!).
Hinterher solltest du nur noch

Shell             REG_SZ             Explorer.exe

stehen haben.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 11 von _manuela

danke mickey, hab ich gemacht - hoffentlich richtig - bei mir steht jetzt als name Shell dann REG_SZ dann als wert explorer.exe, der binäre wert sind lauter nullen.... glaubst du das ist ok?

in system32 hab ich dan die dazugehörige nstask32.exe gefunden und gelöscht.

na das wirds wohl hoffentlich gewesen sein!

lg, manuela

Antwort 12 von Mickey

So sollte es das gewesen sein. Wie kommst du auf die Binärdaten? Lauter Nullen solltest du sehen wenn als Wert absolut "nichts" angegeben ist.
Ansonsten teste mal wie dein System jetzt läuft, und denk dran die Systemwiederherstellung wieder zu aktivieren.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 13 von _manuela

stimmt was du sagst, jetzt es sind es nicht nur lauter nullen, da hatte ich mich verschaut.. stehen paar zahlen da und Explorer.exe, sollte also passen, neustart ist auch geschafft - un ddie meldung von AntiVir ist weg!! geschafft, na endlich!

nur dumm dass ich mich für die hilfe nicht revanchieren werd können : -{

aber mic, falls du mal was auf franzöisch oder spanisch wissen willst, mail mir!