Muelli 10 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Moin Community, einer unserer Street Warrior hat sich doch tatsächlich 'nen W32/Worm.xyz eingefangen. Hatte halt sein Notebook schon ewig nicht mehr am Netz, d.h. kein Update der Virensignaturen. Und dann immer schön Kundendateien rauf. Ist jetzt aber nicht das Problem. Nach dem Bereinigen - es werden durch den Virus haufenweise exe Files erzeugt (win.exe, fun.exe, other.exe), war alles wieder sauber. Allerdings will irgendein Starteintrag beim Laden des Benutzerprofils (nur bei seinem eigenen und nicht unter Administratorkonto) immer noch 2 der exe files starten. Da diese nicht mehr da sind, kommt eine Fehlermeldung. Ungefähr in diesem Sinne: "Registrierungseintrag auf Datei blabla.exe fehlerhaft. Datei nicht gefunden". Ich habe nun schon die gesamte Registry durchsucht und auch mit autoruns von Sysinternals (jetzt MS) sämtliche Autostart Einträge durchforstet - ohne Erfolg. Wo könnte noch ein versteckter Eintrag stehen, der diese exe Files laden will? Virenscanner und AdAware melden "alles OK" Gruß Jörg Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 wie siehts es mit msconfig aus? ist hier eventuell noch was zu finden! Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Hallo Muelli, hast du das Scannen im Abgesicherten Modus gemacht? Wenn der Virus/Worm sich schon breit gemacht hat, maskiert er sich auch vor dem Antivirenscanner oder Adaware. Die Einträge, die du suchst stehen unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run oder HKCU\Software\Microsoft\Windows\CurrentVersion\Run Ich wage aber zu bezweiflen, daß du ein 100% sauberes System wieder hin bekommst. Mach eine Sicherung der Kundendaten und setzt das BS komplett neu auf. Das ist die sicherste Methode. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 29. März 2008 Melden Teilen Geschrieben 29. März 2008 Wenn du Autoruns benutzt hast und der Wurm sich immer noch automatisch startet hast du etwas übersehen. Autoruns listet dir wirklich alles auf was automatisch gestartet wird. Lass Autoruns nochmal laufen und schalte alles verdächtige ab. Zitieren Link zu diesem Kommentar
derwUwu 10 Geschrieben 29. März 2008 Melden Teilen Geschrieben 29. März 2008 Hatte schon den Fall das sich hinter einer Menge von Leerzeilen sich Einträge in HKLM\Software\Microsoft\Windows NT\WinLogon - Shell [Explorer.exe] befanden. Bis ich das mal gesehen habe das sich dahinter ein Eintrag befand. Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 29. März 2008 Autor Melden Teilen Geschrieben 29. März 2008 Moin moin, die Run Einträge in der Registry sind sauber. Aber ich check nochmal mit Autoruns. Grüße und Dank Jörg Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 29. März 2008 Melden Teilen Geschrieben 29. März 2008 Hallo Jörg, besorge dir mal HiJackThis und poste das Log von einem Scan. TrendSecure | Download TrendMicro™ HijackThis™ BTW: Ein befallenen Rechner würde ich auch neu aufsetzen. Zitieren Link zu diesem Kommentar
schotte 10 Geschrieben 29. März 2008 Melden Teilen Geschrieben 29. März 2008 Hallo, war alles wieder sauber. sagt wer? BTW: Ein befallenen Rechner würde ich auch neu aufsetzen. Richtig. Ich kann nur sagen: "Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ...." Quelle: Computersicherheit - Kompromittierung Und da es sich auch um Kundendaten handelt, sehe ich keine andere Möglichkeit. MfG Schotte Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.