I presently have an SDBOT.GEN virus, I think, also called by my virus program, SDBOT.31344,
also called on Trend Micros site as an AGOBOT or GAOBOT virus, which I did have before I deleted my Windows XP and installed Windows 2000.

While I was updating my Windows 2000, my virus program alerted me that I had now been infected with AGOBOT. But know, in the four virus scanners I used, its come up as SDBOT.GEN.

After the updates, which did download successfully, (the Windows XP ones did not and the Virus eventually deleted my hardware devices and prevented access to the internet), I put on a Shareware Firewall, Sygate, which now monitors and prevents access. But the virus is still on.

This virus attempts to connect with several foreign IP addresses, and one in particular scanned my ports last night. Since then, every time I start up the internet, either my virus attempts to contact one of 5 IP addresses, or one of those 5 attempt to enter my computer.

I have scoured the internet for remove tool, delete options, fixes, scans, everything. The files infected, I think, are
WINNT\System32\glaxnec.exe
WINNT\System32\qecqeum.exe
WINNT\System32\cqwkb.exe
But I cant find them anywhere.
I even do the "regedit" thing and look under running applications in Windows, but they do not appear, as all the websites say they should. (My windows 2000 is also in German!, unfortunate since my grasp of the language is slim and I have no access to an english version).

I could reinstall my windows again, at great pains because setup in German is hard, but the next time I go for the updates, before I get them whoever is controlling by bot will still have my IP address and put it back on before I have any security.

My Thesis is due in about a month, so im so pressed for time that this is practically killing me.

I know the IP addresses hes using, what can I do with them?

No need to re-install Windows...Download 'Hijack This!'. Unzip, doubleclick HijackThis.exe, and hit "Scan".
When the scan is finished, click "Save Log", and copy and paste it in a reply.
HijackThis!

Also download and unzip Process Explorer, you will need to use it for the removal.

Process Explorer

If this works . . . thank you so far!

Logfile of HijackThis v1.97.7
Scan saved at 17:32:47, on 03.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchos1.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\SYSTEM32\vqec.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijcak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.shareware.us/srchasst.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/bff3af7d050da5/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37957.5562731481
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Open Process Explorer and 'Kill' the following processes.

C:\WINNT\system32\svchos1.exe
C:\WINNT\SYSTEM32\vqec.exe

Then Run HijackThis again and place a check in the box next to the following items. Doublecheck so as to be sure not to miss one.
Next, close all browser Windows, and have HT 'fix checked'.

You Must restart your computer in Safe Mode when you're done.

O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe

Once in safe mode delete the following:
C:\WINNT\SYSTEM32\vqec.exe
C:\WINNT\system32\svchos1.exe

Reboot to Windows and run an online virus scan here. Delete all files listed as infected.

RAV

***These files will be hidden, make sure you can view hidden files and folders.
Open any folder and click Tools > Folder Options > View tab. Select 'show hidden files and folders'.

*** Some will be in the restore archive, see this on disabling and enabling system restore:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam

Ok, still some problems. I managed to do all the points.

When I went back in in Safe Mode, I managed to delete both files
svchos1.exe
vqec.exe
And now neither appear in Program Explorer.

When I restarted Windows, I got message (from my fire wall) that one of my files was still trying to connect to a remote IP address.

First, I did a virus scan with my home system, Antivirus Guard and was told I still had one infected file (down from three). Its in German but the files are listed:

C:\WINNT\system32
qlaxnec.exe
ArchiveType: RAR SFX (self extracting)
--> qecqevm.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/SdBot.31344

Tne I did a Virus Scan online at the site you suggested, RAV, with all the options on, and it detected no viruses.

So I redid Hijack this for you to look at:

Logfile of HijackThis v1.97.7
Scan saved at 18:41:48, on 03.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\James1\Desktop\HijackThis\Hijcak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.shareware.us/srchasst.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/bcd48c18cb7498/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37957.5562731481
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Is it just my scanner? Or am I still infected?

There is no sign of any virus running.
Try running a scan with your antivirus while in safe mode.
What file is Sygate listing?

Same virus found in Safe mode as above:

C:\WINNT\system32
qlaxnec.exe
ArchiveType: RAR SFX (self extracting)
--> qecqevm.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/SdBot.31344

Two files that Sygate was listing were:
svchost.exe
services.exe
He was attemting to get into them.

Should I try deleting
qlaxnec.exe
qecqevm.exe
in safe mode?

Ill also do another online virus scan at Trend Micro.

Tom41, thank you so much for your help so far. I have to go to something for about four hours I cant get out of (family). I will check the board again when I get back. And hopefully I can call on you later today or tomorrow for help if possible. Thanks again!

James

I still get the same result on my Virus Scanner.
The Trend Micro Online Scanner detected three new viruses (on my Anti-Virus software), and deleted the files. The second time I ran trend Micro, it detected no viruses.
Then I ran my Anti-Virus again in Safe Mode, in Normal Mode, and got the same results, that I had a BDS/SDBOT.31344 virus. I tried deleting the files:
glaxnec.exe and qecqeum.exe in safe mode, but couldnt find the files.

Hi James, copy the report generated by your antivirus program and paste it in a reply.

Hey Tom, Thanks again.

Ok, the report is in German as my software is in German. I have downloaded the English version of Antivir Personal Edition, but Im afraid of uninstalling the German copy and installing the English copy because it would leave a window to be infected. Or is my Sygate firewall safe enough to allow me to do this?

Here it is, the virus found is at the bottom of the report:

Erstellungsdatum der Reportdatei: 04.12.2003 12:47

AntiVir®/XP (2000 + NT) Personal Edition v6.22.08.08 vom 13.11.2003
VDF-Datei v6.22.0.55 (0) vom 03.12.2003

Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.

Es wird nach 77568 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername: James1
Computername: JAMES
Prozessor: Pentium
Arbeitsspeicher: 122288 KB frei

Versionsinformationen:
AVEWIN32.DLL : v6.22.0.2 348672 21.10.2003 16:42:50
AVGNT.EXE : v6.22.00.01 118824 17.09.2003 18:25:26
AVGUARD.EXE : v6.22.00.01 180264 12.09.2003 08:11:16
GUARDMSG.DLL : v6.22.00.01 94248 12.09.2003 08:11:16
AVGCMSG.DLL : v6.22.00.02 241704 17.09.2003 18:25:26
AVGNTDD.SYS : v6.21.00.02 39844 12.08.2003 20:07:34
AVPACK32.DLL : v6.22.00.03 413736 03.11.2003 19:45:56
AVGETVER.DLL : v6.22.00.00 24576 24.09.2003 14:30:00
AVWIN.DLL : v6.22.00.07 503848 11.11.2003 09:36:06
AVSHLEXT.DLL : v6.22.00.00 57344 17.09.2003 14:56:46
AVSched32.EXE : v6.22.00.01 110632 05.11.2003 12:30:58
AVSched32.DLL : v6.22.00.00 122880 17.09.2003 14:56:46
AVREG.DLL : v6.22.00.00 41000 17.09.2003 14:56:46
AVRep.DLL : v6.22.00.17 290856 27.11.2003 16:47:38
INETUPD.EXE : v6.22.00.02 184320 23.10.2003 10:24:14
INETUPD.DLL : v6.22.00.02 147456 23.10.2003 10:24:50
CTL3D32.DLL : v2.31.000 27136 10.12.1999 13:00:00
MFC42.DLL : v6.00.9586.0 1015859 19.06.2003 20:05:04
MSVCRT.DLL : v6.10.9844.0 286773 19.06.2003 20:05:04
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .ACM .ADE .ADP .APP .ASP .AWX .AX .BAT .BIN .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CSH .DLL .DLO .DO? .DRV .EML .EXE .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .JS .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PDR .PGM .PIF .PKG .POT .PPS .PPT .PRG .RPL .RTF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TSP .TTF .VB? .VLM .VXD .VXO .WIZ .WLL .WPC .WSC .WSF .WSH .WWK .XL? .XML

Reaktion bei Fund:
[ ] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[X] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[ ] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Verdächtige Makros:
[ ] Alle verdächtigen Makros löschen
[ ] Alle Makros löschen, wenn eines verdächtig
[X] Aktion nachfragen

Formatvorlagen konvertieren:
[ ] Niemals
[ ] Nur bei .DOC-Dateien
[X] Immer
[ ] Nachfragen
[X] Formattabelle komprimieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\James1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom

Start des Suchlaufs: 04.12.2003 12:47

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk A:
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BFast.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BFast1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FastClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitsLink.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitsLink1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINNT\system32
qlaxnec.exe
ArchiveType: RAR SFX (self extracting)
--> qecqevm.exe
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/SdBot.31344

Ende des Suchlaufs: 04.12.2003 12:58
Benötigte Zeit: 11:27 min

749 Verzeichnisse wurden durchsucht
14600 Dateien wurden geprüft
1 Warnung wurde ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

Hi Tom41
I've been following your advice re: dyfica (which I have and only AVG can find) and am posting up my results. I know I am fairly new to this board, but I was wondering if you could help me!

Thanks

Logfile of HijackThis v1.97.7
Scan saved at 22:52:17, on 10/12/2003
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\TABLET.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\PCI AUDIO APPLICATIONS\MIXER.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE
C:\PROGRAM FILES\ALSET\HELPEXPRESS\MMREGAN\HXDL.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZONEALARM.EXE
D:\DISTILLR\ACROTRAY.EXE
C:\PROGRAM FILES\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\PROGRAM FILES\NIKON\NKVIEW5\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALEVENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\PROGRAM FILES\WS_FTP PRO\WSBHO2K0.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM214.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [couponsandoffers] wjview /cp:p "C:\Program Files\couponsandoffers\System\Code" Main lp: "C:\Program Files\couponsandoffers"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BurnQuick Queue] C:\WINDOWS\BQTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [HC Reminder] hc.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [Tablet] C:\WINDOWS\SYSTEM\Tablet.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [HELPEXP.EXE] C:\Program Files\Alset\HelpExpress\MMRegan\Client\HelpExp.exe
O4 - HKCU\..\Run: [HXDL.EXE] C:\Program Files\Alset\HelpExpress\MMRegan\HXDL.EXE -from="HXIUL.EXE" -to="HXIUL.EXE"
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Acrobat Assistant.lnk = D:\Distillr\AcroTray.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/226c1187e2b13dd30d05/netzip/RdxIE601.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.climaxbucks.com/internet-optimizer/080703/MultiDist.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

I'd love to know what's going on!

Mel