Spybot.bx

Internet Internet Sicherheit
#1

Hi zusammen,

ich hab mir das Backdoorprogramm spybot.bx eingefangen, trotz geupdatetem SpyBot. Soll ja angeblich ein ganz übler Zeitgenosse sein. Mein AntiVir hat zwar Alarm geschlagen und das Tierchen angeblich gelöscht, im Net hab ich aber Infos gefunden, dass das Problem dadurch nicht gelöst sei. Leider waren nirgends ausreichende Infos zu finden, was ich jetzt tun kann. Auf dieser Seite hier:

http://www.sophos.de/virusinfo/analyses/w32spybotbx…

ist eine kleine Anleitung zu finden, aber ich schnall nicht so ganz, was damit gemeint ist. Dort steht, man soll eine Kopie der Datei C:Windows/regedit.exe machen und die Kopie in regedit.com umbenennen. Soweit so gut, und dann? Lösche ich die alte Version der Datei und was mach ich mit der Kopie?

Zudem steht in der Erläuterung, das Programm bleibe resident und im Hintergrund aktiv, was doch soviel bedeutet, dass man das Tierchen nur im abgesicherten Modus loswird? Davon steht jedoch nichts in der Wiederherstellungs-Anleitung… Oder hab ich da was falsch verstanden?

Danke für Eure Hilfe.

Liebe Grüsse,
Mirea

#2

Hi Mirea,
Im Windows-TaskManager ist das Ding nicht zusehen.
Deshalb nimm im „Erweiterten Modus“ von Spybot die Process-Liste zum Beenden.
Sie auch hier:
http://www.wer-weiss-was.de/cgi-bin/www/service.fpl?..

Im „Erweiterten Modus“ gibt es einiges, was solche Vorkommnisse, hätte verhindern können.

Ansonsten, folge der Wiederherstellungs-Beschreibung von Sophos.

mfg
Wolfgang

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

Hi Wolfgang,

danke für Deine Antwort. Darf ich noch mal mit ein paar Fragen nachhacken? Es gibt etwas, was ich bei Deiner Antwort nicht ganz verstanden habe.

Im Windows-TaskManager ist das Ding nicht zusehen.

Also wenn ich die geschützten Dateien anzeigen lasse, ist die Datei regedit.exe schon zu sehen. Oder meintest Du das Backdoor-Programm selber? Nach Anweisungen von Sophos soll man die Datei sowieso nicht mit dem TaskManager löschen sondern in der Registry selber.

Deshalb nimm im „Erweiterten Modus“ von Spybot die
Process-Liste zum Beenden.

Mein Spybot ist immer im Advanced Modus eingestellt. Was meinst Du genau mit „Prozess-Liste zum Beenden“? Leider kann ich den Link, den Du angegeben hast, nicht öffnen. Es leitet mich auf eine Seite mit der Fehlermeldung, ich sei nicht angemeldet (?).

Ansonsten, folge der Wiederherstellungs-Beschreibung von
Sophos.

Würde ich ja gerne, aber ich habe nicht verstanden, was ich mit der Kopie von der Datei regedit.exe machen soll. Soll ich die umbenannte Datei regedit.com stehen lassen und die alte löschen?

Danke für Deine Hilfe.

Liebe Grüsse,
Mirea

#4

Hallo Mirea,

Benutzt Du Win-XP, oder anderes?

danke für Deine Antwort. Darf ich noch mal mit ein paar Fragen
nachhaken? Es gibt etwas, was ich bei Deiner Antwort nicht
ganz verstanden habe.

Mein Spybot ist immer im Advanced Modus eingestellt.

1. Spybot aktuallisieren! Wenn I-Net funktioniert!
Advanced Modus heißt jetzt Erweiterter Modus!

Was meinst Du genau mit „Prozess-Liste, zum Beenden“?

Im „Erweiterter Modus“ auf „Werkzeuge“.
klick auf „IE-Spielereien“. Dort, nur beim 1. Punkt, Häckchen setzen = HiJacker-Schutz.

-Jetzt Process-Liste.
-Dort siehst Du, was alles an Programmen und Diensten „Aktiv“ ist.
-Einträge können dort auch beendet werden.

  • Auch der Backdoor-Trojaner wird dort aufgeführt sein, sofern die Liste gestartet werden kann!

-Dann sieh Dir mal „System-Start“ an.
-Unter „Resident“ , den permanenten Schutz beide „Häckchen“ setzen.
-Ab jetzt achtet Spybot auf Veränderungen und meldet diese.

Leider kann ich den Link, den Du angegeben hast, nicht öffnen.
Es leitet mich auf eine Seite mit der Fehlermeldung, ich sei nicht
angemeldet (?).

:frowning: ich auch, andere Links von mir stimmen auch nicht mehr!?

Ansonsten, folge der Wiederherstellungs-Beschreibung von
Sophos.

Würde ich ja gerne, aber ich habe nicht verstanden, was ich
mit der Kopie von der Datei regedit.exe machen soll. Soll ich
die umbenannte Datei regedit.com stehen lassen und die alte
löschen?

NEIN !!

Benennen Sie die Kopie von Regedit.exe um in Regedit.com.
=> Es gibt dann 2mal REGEDIT, eine *.EXE und *.COM

Klick in der Taskleiste auf Start|Ausführen.
Gib " Regedit" ein und Enter drücken.
=> Win startet COM-Datei

Es öffnet sich der Registrierungseditor.

Unter Windows NT/2000/XP/2003 müssen außerdem die folgenden Registrierungseinträge bearbeiten.

Suchen unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver = WINUPDATE.EXE
Lösch diesen Eintrag, sofern er existiert.

Jeder Benutzer hat einen Registrierungsbereich namens *HKEY_USERS* [Codeziffer des Benutzers].
=> Sieht etwa so aus: S-1-5-20 und auch .DEFAULT = aktuell

Such für jeden Benutzer den Eintrag:
HKU[Codeziffer] \Software\Microsoft\Windows\CurrentVersion\RunOnce\Winsock2 driver = WINUPDATE.EXE suchen
Lösch diesen Eintrag, sofern er existiert.

Schließ den Registrierungseditor
und starte Deinen Computer neu.

Bei weiteren Fragen? per Mail?

mfg
Wolfgang

#5

Hallo Mirea,

vielleicht geht es auch ganz einfach mit Hilfe dieser Software:

http://www.neuber.com/taskmanager/deutsch/index.html

voll funtionstüchtige Demo kostenlos downloadbar. Das Tool hat mir schon bei so manchem zweifelhaftem Prozeß sehr gute Dienste geleistet.

Gruß
Vanlana

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]