Dedies-Board | Druckvorschau: Spybot findet Eintrag von w32agobotku

Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Spybot findet Eintrag von w32agobotku (https://www.dedies-board.de/wbb2/thread.php?threadid=472)

Geschrieben von deoroller am 08.06.2005 um 00:49:

Spybot findet Eintrag von w32agobotku

im Systemstart.

Unter http://www.sophos.de/virusinfo/analyses/w32agobotku.html
steht nichts gutes.

Im Bild ist es der Schlüssel, bei dem das Häkchen fehlt.
Die Datei system32.exe ist auf der Festplatte nicht vorhanden.

Geschrieben von dedie am 08.06.2005 um 01:10:

Hast du mal nach der Datei "d:\Programme\Globe Software\StatBar\StatBar.exe" gesucht.
Ansonsten würde ich mal das übliche machen "HJT" usw. aber bitte keine selbstlöschversuche Petzauge

Geschrieben von deoroller am 08.06.2005 um 14:18:

Ich brauche nicht nach der Statbar zu suchen, weil sie ständig vor meiner Nase hängt. fröhlich

Die ist aber harmlos und sendet nix.
Natürlich spioniert sie. Aber in meinem Auftrag. großes Grinsen

Geschrieben von dedie am 08.06.2005 um 14:24:

Ich sollte zu später Stunde besser die Brille aufsetzen dumm

Geschrieben von MobyDuck am 08.06.2005 um 15:46:

Hallo deo,

da musst du wohl das ganze Programm abfahren. Keine Ahnung, ob ein Bot seine Anwesenheit verschleiert oder ob's einer der allseits beliebten Spybot-Fehlalarme ist. Haste nicht zufällig ein frisches Image greifbar? Würde wohl am wenigsten Arbeit machen.

Ansonsten:
Eintrag mit Autostart Explorer verifizieren
(Findest du in der Database)
Was sagt netstat?
laufende Prozesse checken, z.B. mit Process Viewer oder ähnlichem

HJT-Log
E-Scan

Aber wem sag ich das. Augen rollen

Geschrieben von deoroller am 08.06.2005 um 17:49:

Bevor ich mich mit den "Innereien" von Spybot beschäftigt habe und zufällig den Eintrag fand, hatte ich bereits das ganze Programm über die Festplatte fahren lassen. Einzig und allein in der Autostartanalyse von Spybot gibt es den Hinweis über den Eintrag. Den habe ich mittlerweile gelöscht und nach etlichen Windos-Neustarts als Admin und auch als Benutzer tauchte er nicht mehr wieder auf. Das lässt mich zu dem Schluss kommen, das dieser Wurm versucht haben könnte im PC Fuss zu fassen, aber durch irgendwas daran gehindert wurde und der leere Run-Eintrag als Registryfragment zurückblieb.
Weder HJT, Ad-Aware, MS Antyspyware, Active Ports, TCPView und das neue
CurrPorts (ausführlicher als TCPView) zeigten eine Unregelmäßigkeit.
Das vermutlich einzig zuverlässig saubere Image, das ich habe, ist das, das ich gleich nach dem Neuaufsetzen gemacht habe. Ich hätte da noch 4 weitere seit dem Neuaufsetzen und eins der vorgehenden Installation zur Auswahl, aber ich habe nicht so recht Lust die alle durchzugehen.

Irgendwo habe ich gehört, dass einer der neuen Spywarescanner auch "fremde" Betriebssysteme analysieren kann. Das wäre eine Mögichkeit die Images einfach virtuell zu starten und dann zu checken. grübeln