W32.Spybot.Worm und werd ihn nicht los

Internet Internet Sicherheit
#1

Hallo Experten!

Beim Einschalten meldet sich Norton Antivirus 2005 und sagt, er habe Spybot.worm in der und der Datei gefunden und gelöscht. Soweit so schön: das ganze meldet er aber unendlich oft. Also:
Securityresponse auf der Symantec-Seite angeschaut.

1.) abgesicherter Modus
2.) voller Systemcheck mit natürlich aktuellsten Virendefinitionen
3.) gefundene Dateien gelöscht
4.) Registry-Einträge: in der Regedit im Ordner CurrentUser bzw. Local Machine…/CurrentVersion/Run bzw. RunOnce alle Verdächtigen Einträge kicken
5.) leere Dateien löschen mit Kennung tft*.*

Soweit so gut, aber beim nächsten normalen Hochfahren wieder das gleiche: Spybot.Worm gefunden…

Folgende Registryeinträge hab ich mal stehenlassen:
T-Online_Software_5\WLAN-Access Finder in C:\Programme\T-Online…
ccApp in c:\Proramme\gemeins.Dateien\Symantec Shared\ccapp.exe
Symantec NetDriver Monitor in C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
SM_ConfigureProgramsExisted (Typ: reg_dword)

Jemand eine Idee? Wäre dankbar.

R.

PS: Betriebssystem Win XP SP2. Spybot, adaware, stinger etc. melden nichts.

#2

Salü Ralf

Hast Du auch daran gedacht, vorgängig die Systemwiederherstellung von Win XP zu deaktivieren?
Hast Du auch daran gedacht, die Autostart Einträge mit dem besten und kostenlosen Tool zu überprüfen?
http://www.sysinternals.com/utilities/autoruns.html

Grüsse
Peter

PS:
Wenn man sich schon auf Kaza und ähnlichen „herumtreibt“, dann sollte ein IT Profi wie Du auch wissen, wie man sich gegen Tripper und Filzläuse schützt…
Z.B. die Platte wöchentlich mit einem Bootimage wiederherstellen
oder mit VMWare / Virtual PC Sessions arbeiten

Und keine Ausreden - bitte. BSI ist vorsichtig mit klaren Aussagen und
gemäss deren Auskunft hast Du Dich an schmutzigen Orten herumgedrückt… :wink:
http://www.bsi.bund.de/av/vb/spybot.htm

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

Hallo und danke für die schnelle Antwort.

Ja, natürlich hab ich die Systemwiederherstellung deaktiviert.
Und natürlich sind die Autostarteinträge mit besagtem Programm betrachtet worden.

Und bzgl. deines PS: Es handelt sich leider wie so häufig um einen Kundenrechner. Und das was du als Tripper und Filzläuse bezeichnest :wink: , würde auf Rechnern, die ich einrichte, gar nicht erst seinen Weg finden. Also bitte nicht persönlich werden.

Wenn man sich schon auf Kaza und ähnlichen „herumtreibt“, dann
sollte ein IT Profi wie Du auch wissen, wie man sich gegen
Tripper und Filzläuse schützt…
Z.B. die Platte wöchentlich mit einem Bootimage
wiederherstellen
oder mit VMWare / Virtual PC Sessions arbeiten

Und keine Ausreden - bitte. BSI ist vorsichtig mit klaren
Aussagen und
gemäss deren Auskunft hast Du Dich an schmutzigen Orten
herumgedrückt… :wink:
http://www.bsi.bund.de/av/vb/spybot.htm

Hallo Experten!

Beim Einschalten meldet sich Norton Antivirus 2005 und sagt,
er habe Spybot.worm in der und der Datei gefunden und
gelöscht. Soweit so schön: das ganze meldet er aber unendlich
oft. Also:
Securityresponse auf der Symantec-Seite angeschaut.

1.) abgesicherter Modus
2.) voller Systemcheck mit natürlich aktuellsten
Virendefinitionen
3.) gefundene Dateien gelöscht
4.) Registry-Einträge: in der Regedit im Ordner CurrentUser
bzw. Local Machine…/CurrentVersion/Run bzw. RunOnce alle
Verdächtigen Einträge kicken
5.) leere Dateien löschen mit Kennung tft*.*

Soweit so gut, aber beim nächsten normalen Hochfahren wieder
das gleiche: Spybot.Worm gefunden…

Folgende Registryeinträge hab ich mal stehenlassen:
T-Online_Software_5\WLAN-Access Finder in
C:\Programme\T-Online…
ccApp in c:\Proramme\gemeins.Dateien\Symantec Shared\ccapp.exe
Symantec NetDriver Monitor in C:\PROGRA~1\SYMNET~1\SNDMon.exe
/Consumer
SM_ConfigureProgramsExisted (Typ: reg_dword)

Jemand eine Idee? Wäre dankbar.

R.

PS: Betriebssystem Win XP SP2. Spybot, adaware, stinger etc.
melden nichts.

#4

Hallo Ralf

Und bzgl. deines PS: Es handelt sich leider wie so häufig um
einen Kundenrechner. Und das was du als Tripper und Filzläuse
bezeichnest :wink: , würde auf Rechnern, die ich einrichte, gar
nicht erst seinen Weg finden. Also bitte nicht persönlich
werden.

Du verwendest wohl eine PFW?

Bisher war es doch immer in diesem Forum so, das Anwender ihre Fragen an Experten stellten und so soll es meiner Ansicht auch bleiben. Wenn nun jedoch Experten ihre Fragen an Experten stellen, da kann schon mal sowas wie bei Peter rauskommen. Warum bist du eingeschnappt? Wer will das schon von von dieser Seite der Mattscheibe aus beurteilen können?

Wahrheiten können schmerzhaft sein! Das Internet ist kein Streichelzoo und daran solltest auch du dich gewöhnen.

Im Übrigen finden Spezialisten, so wie du einer bist, die richtigen Antworten viel schneller und in komprimierter Form bei de.comp.security.virus, de.comp.security.misc und de.comp.security.firewall oder traust du dich dort nicht mehr hin?

@CH-Peter:
Ich hätte es nicht besser formulieren können!

der hinterwäldler

#5

Ich habe zweifelsohne etwas unglücklich formuliert und Peters Formulierung war vollkommen okay. Meiner ersten Schilderung war nicht zu entnehmen, dass es sich um einen Kundenrechner handelt. Und das Prädikat Experte nehm ich besser nicht an :wink: Das dürfen sich gerne andere aneignen. Und wenn ich ganz mutig bin, werde ich weiterhin die von dir genannten Newsgroups besuchen…

Also nix für ungut an alle.

Gruß in die Schweiz und nach Orsingen!

R.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#6

Salü

Aus meiner Sicht gibt es 2 Ansätze:

  1. Virus
  2. Scanner-SW

Versuche doch mit einem 2. Programm diese angebliche Infektion zu verifizieren. Bzw. verwende einen Scanner, der nicht auf der OS Instanz des verseuchten Rechners installiert ist (ev. defekte Libaries
oder manipulationen durch Viren).

Falls Du kein zweites zur Hand hast, dann verwende F-Prot (kostenlos in der DOS und Linux Variante):
http://www.f-prot.com/download/home_user/

Überlege doch mal selber, wie wahrscheinlich das es ist, dass der von Dir genannte Virus von keinem anderen Scanner-Tool erkannt wird. Und bedenke in Deiner Ueberlegung, dass gemäss BSI der Virus seit 2003 bekannt ist!

Grüsse
Peter

PS:
Für das zu persönliche PS bitte ich um Entschuldigung. Insbesondere da
es sich um einen Kundenrechner handelt. Aber Du weisst ja… „Wer den Schaden hat, braucht für den Spott nicht zu sorgen“. Und wenn ein Kollege - vermeintlich - sich schmutzige Finger holt, dann hat das eine besondere Note… :->

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]