W32 Spybot

deluxe

New member
hi leute
ich hab nen fettes problem!
ich hab mir - ich weiss nicht wie - den W32.Spybot
und mein antivir ist unfähig den zu entfernen!
-> Start der Symantec AntiVirus-Dienste ist fehlgeschlagen. Viren-Engine ist beschädigt. (CC012000)
es werden immer mehr; da hab ich mir ein clean tool fürn mirc geholt und anscheinend funzt das auch nicht oO
kann mit jemand helfen ein antitool aufzufinden? pls?
thX
 

Brati

New member
mhhm hatte den auch hab veruscht mit norton oder PC Cillin zu entfernen haben alle nicht geholfen Panda auch nicht! musste formatieren!
 

Bitnik

New member
W32/Spybot-D ist ein P2P-Wurm, der sich über das Datei-Austauschnetzwerk KaZaA verbreitet.

W32/Spybot-D erstellt den Ordner %system%\kazaabackupfiles und kopiert sich unter Verwendung verschiedener Dateinamen dorthin. Beispiele für die Dateinamen sind:

C&C Generals_crack.exe
FIFA2003 crack.exe
NBA2003_crack.exe
AquaNox2
Crack.exe
UT2003_bloodpatch.exe
Unreal2_bloodpatch.exe
Battlefield1942_bloodpatch.exe
Porn.exe
AVP_Crack.exe
zoneallarm_pro_crack.exe

Damit diese Dateien freigegeben werden, wird der Registrierungseintrag

HKCU\Software\Kazaa\LocalContent\Dir0

aktualisiert, damit er auf dieses Verzeichnis verweist.

Damit er beim Systemstart automatisch aktiviert wird, kopiert sich der Wurm in eine Datei mit einem zufälligen Namen im System-Ordner und fügt Registrierungseinträge zu

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

und

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\

hinzu, um auf diese Datei zu verweisen.

Während W32/Spybot-D aktiv ist, versucht er verschiedene Überwachungsprogramme zu beenden.

W32/Spybot-D speichert außerdem Tastenfolgen in der Datei keylog.txt im System-Ordner und versucht, Kennwörter zu stehlen.

W32/Spybot-D hat eine IRC-Backdoor-Komponente, die sich mit einem remoten IRC-Server verbindet, um über die Infektion zu informieren und einem böse gesinnten Benutzer Fernzugriff auf den Computer zu ermöglichen.
Sod das solten ein paar nette infos sein. Finde ich wenigstens und dann kann man sich ans bekämpfen machen wie folgt

Bitte folgen Sie den Hinweise zum Entfernen von Würmern.

Sie sollten alle Kennwörter ändern, die eventuell gestohlen worden sind und die Datei keylog.txt im system-Ordner löschen.

Windows NT/2000/XP

Unter Windows NT/2000/XP müssen Sie die folgenden Registrierungseinträge bearbeiten. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Entfernen Sie alle Verweise auf die von Ihnen gelöschten Dateien.

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\RunOnce\

Entfernen Sie alle Verweise auf die von Ihnen gelöschten Dateien.

Schließen Sie den Registrierungseditor.
Hoffe das hat dir Geholfen

Greetz BitNik [/code]
 

deluxe

New member
thX ich hab das mal versucht und die einträhe sind draußen, ABER
ich hab vorher mit trojancheck 6 auch sowas gemacht.
nun is meine firewall und mein antivir futsch oO
neu installen vll
aber noch was - die sind zwar aus der registry draußen aber sind doch noch im (laufwerksbuchstabe):\windows\system32 drinne.
kann ich die jetzt da rauslöschen?
 

Compiler

Administrator
DeluXe hat gesagt.:
die sind zwar aus der registry draußen aber sind doch noch im (laufwerksbuchstabe):\windows\system32 drinne.
kann ich die jetzt da rauslöschen?
Klar musst du die da löschen ... ist nicht aus SPaß dort beschrieben :D

Virus ist Virus und sollte in allen Ordnern gelöscht werden.


Compiler
 

Satrap

New member
"format c: && fdisk /mbr" ist n cooles antivirus program !!! :grin:


Compiler hat gesagt.:
DeluXe hat gesagt.:
die sind zwar aus der registry draußen aber sind doch noch im (laufwerksbuchstabe):\windows\system32 drinne.
kann ich die jetzt da rauslöschen?
Klar musst du die da löschen ... ist nicht aus SPaß dort beschrieben :D

Virus ist Virus und sollte in allen Ordnern gelöscht werden.


Compiler
und windows XP holt sie dan wieder rein (über restore funktion) !!! :lame:
 

deluxe

New member
haha satrap oO

es is so: es kommt -> sie können diese datei nicht löschen. sie haben nicht genug rechte
und bei meiner firewall auch sowas. ich kann sie nicht einschalten weil ich nich genug rechte hab oO
mein pc is für die klapse!

ich muss echt formaten oO glaub ich langsam

hat jemand was das mirc blockt wenn er mir wieder son fuck unterjubeln will?
 

bolef2k

Administrator
Hi,

ich fass es Kurz...Norton ist blind und der letzte Dreck.
Auf einem System mit Nortan habe ich mit Kaspersky Personal Antivirus 27 Viren löschen müssen, da der Nortan so unfähig ist. Auf jeden fall empfehle ich Kaspersky Personal Antivirus!! Ich denke die anderen haben die problemlösung detailliert genug beschrieben und deswegen ist mein Komment dazu nicht mehr notwendig. :D Guter job Jungs

Grüße,
Bolef2k
 

deluxe

New member
kk also ich hab jetzt von der neuen pcwelt den bitdefender 7.2 mit lizenz bis 07.2005
und damit hab ichs jetzt weg :D bin vollum damit zufrieden
nur ich finds dumm dass die lizenz schon so früh abläuft :(
naja dennoch thX
v.a. weil ich die ja erstmal aus dem autostart kicken musste
 

Bitnik

New member
Ja also ich habe BitDefender 8.0 und muss sagen, dass es richtig gut ist. Aber irgendwie weiß ich garnicht wie lang die Lizenz von mir ist. Wenn sie irgendwann ausläuft besorge ich miur eine neue.

Greetz BitNik
 

deluxe

New member
grml
seit ich den w32 spybot hatte bekomm ich immer mehr trojans und backdoors !
ich weiss nimmer was ich machen soll - ich lad mir mal den vga (free) antivir und schau dass der mir den wegbekommt...

oder hat jemand ne bessre idee?
 

Compiler

Administrator
Wie wäre es mit Windows neuinstallieren und dann von Anfang an dein System schützen??

Also ich denke ,dei nPC ist viel zu versucht, was du heir so erzählst.

Installier Windows neu und geh nicht online, solange du keien FireWall sowie ein Antivirus Programm hast.

Also viel Spaß dabei.


Compiler
 

Bitnik

New member
JA ich denke auch das ist die klügste ldee ist. Daten die dir wichtig sind solltest du noch mal scannen und auf CD/DVD Brennen oder wenn es zu viel sind auf eine Gesonderte Partition. Allerdings müssen die dann 100% Frei von Viren etc sein.

Optional:
Ich weiß ja nicht wie verseucht dein rechner ist aber wenn du einen Bootsktorvirus hast solltest du den MBR nochmal vormatiren und Fixen.

Greetz BitNik
 

deluxe

New member
also ich hab grad zurückgespielt
wo ich damit noch nie aufm net war hab die firewall mit antivir installed und gleich wo ich connectete wieder nen virus :/
ich werd noch verrückt!!!!
 

bolef2k

Administrator
Hi,

das ist ja crazy.... Nutz linux*gg* Sorry
also wo wollteste hin,d ass du einfach SO ein Virus bekommst? Auf welchen seitenw arst du?
Ich nutze die kerio Firewall, die blockt am liebsten alles :D die frag wegen jedem Scheiss und das macht sie mir sympatisch :)
Also ich würd als Antivirus kaspersky Antivirus nehmen, im nkleinen test hab ich Norton gegen den mal scannen lassen.
Norton: 0 Viren erkannt
Kaspersky: 26 harte Viren, musste gelöscht werden, für "desinfizieren" waren die zu hart :)

Grüße,
Bolef2k
 

deluxe

New member
also ich hab das image nochmal backgespielt und nun die symantec client security mit firewall 2004 und antivir 9 aus der enterprise edition halt.
nur dass ich nich updaten kann wegen isp oder so :/
ich werde hierdruff verwiesen: http://service1.symantec.com/SUPPORT/INTER/sharedtechintl.nsf/de_docid/20030620152152934?OpenDocument&src=_mi&product=LU&version=2.0&language=german&module=LU&error=1814&build=Symantec
hab auch schon neues live update software geladen aber bringt nix so wies aussieht...
bei meinem dad aufm lappy gehts - liegts an sp2? hab ich kürzlich draufgemacht.