Rbot.160768, Rbot.85640 und SDbot.85679

Internet Internet Sicherheit
#1

Hallo,

mein Dad hat sich längere Zeit nicht an meinen Rat gehalten, Antivir regelmässig upzudaten. Ich habe ihm jetzt letzte Woche eine aktuelle Version aufgespielt, die sofort die oben genannten Würmer anzeigt. Allerdings werden als befallene Dateien welche aus dem windows/system32-Verzeichnis angezeigt. Die kann ich doch nicht löschen/verschieben lassen, oder?

Weiß jemand Rat? Auf den Symantec-Seiten (o. Ä.) finde ich hiergegen keine Removal-Tools.

Vielen Dank,

Cleo.

#2

Hallo Cleo

Allerdings werden als befallene
Dateien welche aus dem windows/system32-Verzeichnis angezeigt.
Die kann ich doch nicht löschen/verschieben lassen, oder?

Ja mei, glaubst du ernstlich, die richten sich fein säuberlich spezielle Verzeichnisse ein?

Weiß jemand Rat? Auf den Symantec-Seiten (o. Ä.) finde ich
hiergegen keine Removal-Tools.

Symantec und Co können das kaum.
Ich will in diesem Fall mal auf Unkrufe verzichten und gebe dir einen guten Rat, es dauert nur ein paar Minuten:

  1. Gehe vor den Augen deines Dad mal nach http://www.hijackthis.de/ und hole dir das dortige Tool
  2. Installiere es und lasse damit die Registry analysieren
  3. Den Text der entstandenen LogDatei in den Editor der Page kopieren und auf [auswerten] klicken
  4. Ein paar Sekunden später wird euch ein paar Zeilen darunter die Auswertung gezeigt.
  5. Alle Einträge, die mit „BÖSE“ markiert sind, stammen von schon installierter bekannter Malware und sind praktisch nur die Spitze des Eisberges.
  6. Dazu kommen noch Einträge, die als „unbekannt“ eingestuft werden. Bei diesen kann es sich um ganz normale Software handeln, die HiJackThis nur nicht kennt, aber auch um Malware, die diesem Tool unbekannt ist. Hier ist also dein bzw. deines Dads Brain gefragt.

Im Allgemeinen kannst du davon ausgehen, das wenn Einträge als BÖSE eingestuft werden, sich auf diesem PC ein ganzer Zoo befindet. Oft wird er dann noch von deren Dienstherren aus dem Internet benutzt. Für den NormalUser ist es praktikabler, sicherer und weniger zeitaufwendig, das System komplett neu zu installieren, als den Versuch zu unternehmen, das System zu reinigen und zu reparieren. Die Fragen der betroffenen Dauergäste auf allen möglichen Foren kannst du dir mit Google mal ausgeben lassen: http://www.google.com/search?hl=de&q=Viren+entfernen… Das selbst sogenannte Fachleute von derartigen Problemen nicht verschont bleiben und wie sie reagieren, kannst du ganz aktuell hier nachvollziehen: http://tinyurl.com/daygo

Wie das alles geschehen konnte, kannst du hier http://www.heise.de/security/artikel/49687 und in den Folgeartikeln nachlesen. In eurem Fall ist es sinnvol, mal die beiden Videos von http://ulm.ccc.de/ anzusehen. Vergiß nicht den dazugehörenden Player mitzunehmen!

der hinterwäldler