[Rika]

Jetzt frage ich dich: Warum killst du nicht einfach mal den zugehörigen Task, bevor du versuchst das Teil zu löschen? Tust du nur so oder bist du wirklich...

[superfun]

der spybot wurm kann es nicht sein, denn dort steht unter recovery der registry eintrag und der steht in meiner reg nicht drin

@rika: habe ich schon via msconfig probiert, der startet trotzdem immer wieder

Dieser Beitrag wurde von superfun bearbeitet: 28. Oktober 2004 - 16:54

[Rika]

1. Du sollst den Taskamanager benutzen, um den Prozess zu beenden. Ansonsten wird der doch immer wieder dafür sorgen, daß er automatisch gestartet wird.
2. Außerdem sollst du die Datei selbst löschen, und nicht nur einen der möglichen hundert Starteinträge.

Ich glaube du tust nicht nur so...

[superfun]

ist jetzt gelöscht und ie-explorer läuft noch, ich teste jetzt mal mit neustart ob es immer noch ist. muss ich da jetzt trotzdem noch platt und neu machen?

Dieser Beitrag wurde von superfun bearbeitet: 28. Oktober 2004 - 17:04

[Rika]

Ja, nen iexplorer.exe als Wurm. Liegt direkt im Windows-Verzeichnis, gehört dort offensichtlich nicht hin und gehört deshalb offensichtlich gelöscht.
Wenn du schon keine saubere Neuinstallation machst, dann kann es dir auch egal sein, ob es ein bekannter Wurm oder Trojaner ist der alles mögliche auf deinem PC anstellen kann, tat und vielleicht auch tun wird, weil du das Rootkit nicht erkennen kannst, oder ein unbekannter mit genau den gleichen Fähigkeiten.
Aber unabhängig ob du ihn löschen möchtest oder nicht, solltest du erstmal den Prozess beenden und die Autostart-Einträge entfernen oder ungültig machen sowie die Datei isolieren, insbesondere wenn du dir bei zweiterem nicht sicher bist.

Dieser Beitrag wurde von Rika bearbeitet: 28. Oktober 2004 - 17:07

[superfun]

was soll das heißen "...keine saubere Neuinstallation machst..." hab ne kürzliche neuinstallation gemacht, wegen hardware-wechsel, deshalb wunder ich mich ja über den wurm, da ich als erstes nach den treibern und überhaupt ner internetverbindung die tools adaware, spybot S&D und hjiackthis installiert und laufen lassen hab und die erkennen ja eigentlich sofort nach eigang eines spybots die datei und versuchen die zu isolieren bzw. löschen

[Rika]

Zitat

was soll das heißen "...keine saubere Neuinstallation machst..." hab ne kürzliche neuinstallation gemacht, wegen hardware-wechsel,

Dann sollte dir eine abermalige Neuinstallation nicht schwerfallen.

Zitat

deshalb wunder ich mich ja über den wurm, da ich als erstes nach den treibern und überhaupt ner internetverbindung die tools adaware, spybot S&D und hjiackthis installiert und laufen lassen hab

Nein, genau deshalb wundert es mich gar nicht. Schau dir mal http://www.ntsvcfg.de und http://windowsupdate.microsoft.com an, mindestens ersteres sollte vor der ersten verbindung ins Netz geschehen.

Zitat

und die erkennen ja eigentlich sofort nach eigang eines spybots die datei und versuchen die zu isolieren bzw. löschen

Betonung liegt auf "versuchen"? Dir ist offenbar nicht klar, was Trojanische Pferde können... das historische Äquivalent ist bezeichnend, die Griechen im Inneren des Pferdes kannten keine Gnade.

[superfun]

doch, ne neuinstallation fällt mir im derzeitige augenblick schwer, da ich mein system erst seit vorgestern komplett fertig habe!!! was macht dieses ntsvcfg genau?

[Rika]

Warum liest du nicht einfach mal die Beschreibung, hein? Es konfiguriert deine Dienste so, daß auch ein nichtgepatchtes System unanfällig gegen Remote-Sicherheitslücken ist, du also in Ruhe die Patches herunterladen und installieren kannst.

Und wenn du eine zuverlässige Entfernung der Malware erreichen möchtest, dann geht das nur über eine saubere Neuinstallation. Alles andere ist Bangen und Hoffen.

[superfun]

aber ne systemwiederherstellung von der zeit, wo das ding noch nicht drauf war bringt nichts, oder? und ein system komplett nachbessern geht nicht mit irgednwelchen tools oder ner updateinstallation?

[hans_maulwurf]

du musst akzeptieren das alles was auf deinem PC an ausführbaren Daten und Archiven komprimiert ist. Wenn du kein sicheres Backup auf externen Medien hast. Dann steht ganz klar eine neuinstallation an.

[Rika]

Und wohr willst du wissen, ob das Ding da nicht auch schon drauf was? Hast du kryptographische Prüfsummen aller Dateien? Oder ist beides unglaubwürdig, weil du bis jetzt nicht mal in der Lage warst das Ding selbst zu erkennen?
Zum zuverlässigen Nachbessern bräuchtest du nämlich genau zweiteres, sowie viel mehr Zeit als für eine Neuinstallation. Ich weiß nicht, welchen Teil von "Was tun, wenn der Rechner kompromittiert wurde" hast du nicht verstanden?

[superfun]

muss ich halt doch ne neuinstallaton machen, aber daten wie mails und so kann ich doch übernehmen oder wäre das ein sicherheitsrisiko? was soll ich also deiner meinung nach nach der neuinstall. als erstes installieren, damit ich mir nicht noch mal sowas einhandle?

Dieser Beitrag wurde von superfun bearbeitet: 28. Oktober 2004 - 17:43

[Strider]

Ja deine Mails kannst du nehmen.
Was ennnst du "und so"? MP3s, Bilder, Dokumente kannst du übernehmen, ausführbare Programme und gepackte Dateien sind nicht unbedingt sicher.
Allgemein gilt: nur das mitnehmen, was 100% nicht infiziert ist.

Du solltest nach der Neuinstallation sofort das SP2 draufmachen (das du im voraus heruntergeladen hast und auf ner CD gebrannt hast, idealerweise schon in deiner WindowsXP CD integrieren).
Danach deine Dienste konfigurieren, die Adresse hast du ja http://www.ntsvcfg.de
Eventuell noch nen Virenscanner.
Erst dann kannst du ins Internet, Windows updaten
und dann das übliche, Treiber, Programme usw