Win XP: VIRUS Spybot.gen entdeckt und entfernt, was nun?

Hallo,

ich vermute es sind immer noch Reste des Wurms vorhanden.

Hast du die Registry auch immer von Anfang an durchsucht, also bei jedem Suchvorgang den Arbeitsplatz ganz oben markiert.

Ansonsten sucht XP immer ab der Stelle wo momentan angezeigt wird bis zum Ende.

Vorschlag: markiere mal Arbeitsplatz und suche nach
"Explorer(64)"

Danke für die Antwort erstmal.

Also ich habe nun nochmal gesucht, jedoch findet er keine der Dateien in der Registry (auch Explorer 64 nicht).

Mal kurz ne frage, wenn der Virus vollständig gelöscht wäre, müsste dann der rechner wieder normallaufen oder brauche ich doch die winxp cd?


Vielen Dank!

Hallo,

was passiert denn genau wenn du den Rechner normal hochfährst ?

Zunächst mal dasselbe wie gestern als der Virus noch nicht gefunden worden war.

Ich komme also zu den Benutzerkonten, gebe mein Passwort ein, dann rechnet der Rechner kurz weiter und lädt den Bildschirmhintergrund, lädt aber dann nicht weiter (Icons, Taskleiste,etc.) Gestern konnte ich zwar noch mit dem Taskmanager arbeiten aber der hängt sich nun im normalen modus gleich auf.


Ich hab gestern was zu dem wurm gefunden:
Erläuterung
W32/Spybot-C ist ein Peer-to-Peer-Wurm, der sich über Netzlaufwerke und das Datei-Austausch-Netzwerk KaZaA verbreitet.

W32/Spybot-C erstellt den Ordner <Windows system>\kazaabackupfiles und kopiert sich mit folgenden Dateinamen dorthin:

Half-Life Keygen.exe
Edonkey * bitte keine illegalen Tipps *.exe
Retina * bitte keine illegalen Tipps *.exe
XBoX Emulator.exe
Battlefield 1912.exe
GTA3 Vice City (Real THING!).exe

Damit er diese Dateien freigeben kann, wird der Registrierungseintrag

HKCU\Software\Kazaa\LocalContent\Dir0

aktualisiert, um auf diesen Ordner zu verweisen.

W32/Spybot-C versucht, sich in folgende Ordner auf angehängten Netzlaufwerken zu kopieren:

Documents and Settings\All Users\Menu
Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup

Damit er automatisch beim Systemstart aktiviert wird, kopiert sich W32/Spybot-C in die Datei explorer.exe im Windows-Systemordner und erstellt folgende Registrierungseinträge, um auf diese Datei zu verweisen:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Configuration File

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Configuration File

Während W32/Spybot-C aktiv ist, versucht er, folgende Programme zu beenden:

regedit.exe
msconfig.exe
taskmgr.exe
netstat.exe

W32/Spybot-C speichert Tastenfolgen in der Datei keylog.txt im Windows-Systemordner und versucht, Kennwörter zu stehlen.

W32/Spybot-C verfügt über eine Backdoor-Komponente, die versucht, sich mit der Adresse jax.bsd.st zu verbinden und über die Infektion zu informieren sowie einem Remote-Benutzer Zugriff auf den Computer zu ermöglichen.

 
 
Wiederherstellung
Bitte folgen Sie den Hinweise zum Entfernen von Würmern.
Sie sollten Ihre Kennwörter ändern, sofern sie gestohlen sein könnten.

Sie müssen die folgenden Registrierungseinträge bearbeiten. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Configuration File

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Configuration File

Löschen Sie diese Einträge, sofern sie existieren.

Schließen Sie den Registrierungseditor.

 
Das mit der Registry habe ich wie schon gesagt gemacht, aber da ist nichts.

Hallo,

also zum Reparieren brauchst du die WIN-XP CD.
Von dieser mußt du auch booten.
Dann immer der Installation nach. Ziemlich am
Schluß erkennt das Setup das Windows bereits installiert
ist und bietet eine Reparaturfunktion (R) an.

Noch was anderes:
Was hast du denn für Einträge in der Registry unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run und RunOnce stehen.

also erstmal danke nochmals!

unter ...run steht:

(Standard)
AltnetPointsManager
Anti-Trojan
Anti-Trojan-Watch
FirstSteps
KAZAA
Microsoft Works Update Detection
Mirabilis ICQ
NAV CfgWiz
Norman ZANDA
NvCpDaemon
nwiz
P2P Networking
Quicktime Task
SetIcon
SysInit
TkBellEXE
ToADiMon.exe
Wizard

und unter ...runonce

(Standard)
SysInit

noch eine frage, sorry

meinst du dem rechner fehlen jetzt einfach dateien zum booten oder was vermutest du?

ich bin mir nicht sicher, ob der Wurm Dateien in
Dokumente und Einstellungen zerschossen hat.
Das machen Würmer aber eigentlich nicht.

Ich glaube es ist noch irgenwo ein Rest vom Wurm.

Hast du schon mal die Aufrufe angesehen von den Eintragen in den RUN-Option.

Einfach mit Doppelklick drauf und man sieht was aufgerufen wird.

habe ich gerade gemacht, aber leider bin ich da nicht so bewandert, sollte mir da was besonderes auffallen?

Was passiert eigentlich genau wenn du den PC normal hochfährst ?

Kannst du mal die msconfig aufrufen und davon
Screeshots machen. Evtl. mehrere, mit nach unten scrollen.
ALT+Druck und dann in ein Grafikprogrammen als neues Bild einfügen und abspeichern.

Kannst mir dann mal die Dateien zumailen, dann schau
ich sie mir mal an.
Mich interessiert speziell die Spalte Befehl.
Diese auf jeden Fall ganz aufziehen damit alles zu
lesen ist.

so ich hab jetzt in ausführen msconfig eingegeben.

jetzt ist da ein fenster mit mehreren sparten und zwar Allgemein-System.INI-WIN.INI-BOOT.INI-Dienste-Systemstart.

Bin ich da richtig?
und von welcher sparte soll ich screenshots machen?

sorry aber da war ich noch nie, hehe

es interesiert Systemstart die Spalte Befehl in
voller Breite, damit der komplette Pfad lesbar ist.

Was passiert wenn du den Rechner normal startest,
oder hab ich's überlesen?

das passierte bis ca. vor 3 Stunden:

Ich komme also zu den Benutzerkonten, gebe mein Passwort ein, dann rechnet der Rechner kurz weiter und lädt den Bildschirmhintergrund, lädt aber dann nicht weiter (Icons, Taskleiste,etc.) Gestern konnte ich zwar noch mit dem Taskmanager arbeiten aber der hängt sich nun im normalen modus gleich auf.

aber als ich es nun gerade ben probiert habe, hängte sich der computer einmal da auf wo die benutzerkonten aufgelistet sind und beim zweitenmal hat er sich nachdem das hintergrundbild geladen war sofort aufgehängt. komme also nichtmehr in den taskmanmager.

(hab dir die email geschickt)

hab die Mail angesehen, hab aber auch nichts auffälliges gefunden.

Hast du noch Wiederherstellungspunkte.
Unter Zubehör/Systemprogramme/Systemwiederherstellung.

Vielleicht kannst du auf einen ältern Zustand zurücksetzen.

hab grad versucht sie zu starten, jedoch kam die fehlermeldung, dass dies im abgesicherten modus nicht möglich ist, im normalen komme ich aber nicht rein.

naja muss ich wohl morgen die winxpcd auftreiben.