c.bat Worm

[anoniem]

Hallo allen, Op mijn pc op mijn werk krijg ik de melding dat er in het bestand c:\winnt\system32\c.bat de "W32/Sdbot.worm.bat.b"-worm zit. Als ik mijn AV hem laat wissen komt-ie naderhand weer net zo hard terug. AdAware en Spybot hebben niks gevonden. Wie weet raad met mijn Hijackthis log? Many thanks Maarten Logfile of HijackThis v1.98.2 Scan saved at 14:21:50, on 9-11-2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Intel\ASF Agent\ASFAgent.exe C:\Program Files\Network Associates\VirusScan\avsynmgr.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\NALNTSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\wm.exe C:\Program Files\Network Associates\VirusScan\VsStat.exe C:\Program Files\Network Associates\VirusScan\Vshwin32.exe C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe C:\Program Files\Network Associates\VirusScan\Webscanx.exe C:\Program Files\Network Associates\VirusScan\Avconsol.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\hkcmd.exe C:\WINNT\system32\NWTRAY.EXE C:\WINNT\system32\internat.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe D:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.erasmusmc.nl/faculteit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

[anoniem]

als het echt een .bat file is, zou hij gewoon leesbaarmoeten zijn, zou je dat bestand kunnen openen(notepad) en de inhoud ervan hier kunnen posten?

[anoniem]

Je moet eens zorgen dat je alle updates van Microsoft hebt. Omdat jij McAfee gebruikt zou je voor verwijderen hun “engine and DAT files” kunnen gebruiken. Klik op volgende link, onderaan de pagina staat hun link voor de DAT engine: http://www.google.nl/search?q=cache:UOmlzX28tBkJ:hq.mcafeeasap.com/dispVirus.asp%3Fvirus_k%3D128685+W32/Sdbot.worm.bat.b&hl=nl&client=firefox-a In een bedrijf, PC staat op jou werk, zou ik meer beveiligen dat de gratis Spybot en AdAware, dus bijv. met het koopprogramma Spy Sweeper. Soms is het handig om een virus of worm te verwijderen in veilige modus. De kans is groot dat hij niet terug komt. Misschien dat Marc of iemand anders naar jou log file kan kijken. Volgens mij klopt dat: internat.exe niet. De vraag is: is deze de goede ‘internat.exe’ of de slechte. 1 is virus en de andere heeft te maken met taal instellingen van toetsenboord.

[anoniem]

[quote:98ec61e580="red_bull"]als het echt een .bat file is, zou hij gewoon leesbaarmoeten zijn, zou je dat bestand kunnen openen(notepad) en de inhoud ervan hier kunnen posten?[/quote:98ec61e580] Heb ik gebropeerd, maar ik krijg een "acces denied": zelfs als ik als admin inlog :o [quote:98ec61e580="Falconetti"]Je moet eens zorgen dat je alle updates van Microsoft hebt.[/quote:98ec61e580] Zal ik moeten nakijken of ik dat zelf kan doen! Dank voor de tip. [quote:98ec61e580]In een bedrijf, PC staat op jou werk, zou ik meer beveiligen dat de gratis Spybot en AdAware, dus bijv. met het koopprogramma Spy Sweeper.[/quote:98ec61e580] 1 woord: bureaucratie :wink: [quote:98ec61e580]Soms is het handig om een virus of worm te verwijderen in veilige modus. De kans is groot dat hij niet terug komt.[/quote:98ec61e580] Geprobeerd, helaas hij komt weer terug... :( [quote:98ec61e580]Misschien dat Marc of iemand anders naar jou log file kan kijken. Volgens mij klopt dat: internat.exe niet. De vraag is: is deze de goede ‘internat.exe’ of de slechte. 1 is virus en de andere heeft te maken met taal instellingen van toetsenboord.[/quote:98ec61e580] In dit geval is het volgens mij van mijn keyboard. Alvast bedankt voor je tips, die link ga ik ff bekijken!

[anoniem]

Nog ff gekeken... Het bestand is nu gewist, en is (nog) niet teruggekomen. Ik houd het even in de gaten de komende dagen. Ik heb het systeem laten updaten (hebben ze zo'n speciaal script voor met een losse update-inlog) maar volgens mij zijn er geen updates bij gekomen. Ook McAfee heeft de meest recente update ter beschikking.