Muelli 10 Geschrieben 28. März 2008 Melden Geschrieben 28. März 2008 Moin Community, einer unserer Street Warrior hat sich doch tatsächlich 'nen W32/Worm.xyz eingefangen. Hatte halt sein Notebook schon ewig nicht mehr am Netz, d.h. kein Update der Virensignaturen. Und dann immer schön Kundendateien rauf. Ist jetzt aber nicht das Problem. Nach dem Bereinigen - es werden durch den Virus haufenweise exe Files erzeugt (win.exe, fun.exe, other.exe), war alles wieder sauber. Allerdings will irgendein Starteintrag beim Laden des Benutzerprofils (nur bei seinem eigenen und nicht unter Administratorkonto) immer noch 2 der exe files starten. Da diese nicht mehr da sind, kommt eine Fehlermeldung. Ungefähr in diesem Sinne: "Registrierungseintrag auf Datei blabla.exe fehlerhaft. Datei nicht gefunden". Ich habe nun schon die gesamte Registry durchsucht und auch mit autoruns von Sysinternals (jetzt MS) sämtliche Autostart Einträge durchforstet - ohne Erfolg. Wo könnte noch ein versteckter Eintrag stehen, der diese exe Files laden will? Virenscanner und AdAware melden "alles OK" Gruß Jörg
schnuffi79 11 Geschrieben 28. März 2008 Melden Geschrieben 28. März 2008 wie siehts es mit msconfig aus? ist hier eventuell noch was zu finden!
Esta 121 Geschrieben 28. März 2008 Melden Geschrieben 28. März 2008 Hallo Muelli, hast du das Scannen im Abgesicherten Modus gemacht? Wenn der Virus/Worm sich schon breit gemacht hat, maskiert er sich auch vor dem Antivirenscanner oder Adaware. Die Einträge, die du suchst stehen unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run oder HKCU\Software\Microsoft\Windows\CurrentVersion\Run Ich wage aber zu bezweiflen, daß du ein 100% sauberes System wieder hin bekommst. Mach eine Sicherung der Kundendaten und setzt das BS komplett neu auf. Das ist die sicherste Methode.
Dr.Melzer 191 Geschrieben 29. März 2008 Melden Geschrieben 29. März 2008 Wenn du Autoruns benutzt hast und der Wurm sich immer noch automatisch startet hast du etwas übersehen. Autoruns listet dir wirklich alles auf was automatisch gestartet wird. Lass Autoruns nochmal laufen und schalte alles verdächtige ab.
derwUwu 10 Geschrieben 29. März 2008 Melden Geschrieben 29. März 2008 Hatte schon den Fall das sich hinter einer Menge von Leerzeilen sich Einträge in HKLM\Software\Microsoft\Windows NT\WinLogon - Shell [Explorer.exe] befanden. Bis ich das mal gesehen habe das sich dahinter ein Eintrag befand.
Muelli 10 Geschrieben 29. März 2008 Autor Melden Geschrieben 29. März 2008 Moin moin, die Run Einträge in der Registry sind sauber. Aber ich check nochmal mit Autoruns. Grüße und Dank Jörg
XP-Fan 234 Geschrieben 29. März 2008 Melden Geschrieben 29. März 2008 Hallo Jörg, besorge dir mal HiJackThis und poste das Log von einem Scan. TrendSecure | Download TrendMicro™ HijackThis™ BTW: Ein befallenen Rechner würde ich auch neu aufsetzen.
schotte 10 Geschrieben 29. März 2008 Melden Geschrieben 29. März 2008 Hallo, war alles wieder sauber. sagt wer? BTW: Ein befallenen Rechner würde ich auch neu aufsetzen. Richtig. Ich kann nur sagen: "Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ...." Quelle: Computersicherheit - Kompromittierung Und da es sich auch um Kundendaten handelt, sehe ich keine andere Möglichkeit. MfG Schotte
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden