ciclient.exe W32.Spybot.Worm !!!HILFE !!!!

Hallo zusammen,

hab eine Datei ciclient.exe im Winnt\system32 Ordner.

Mein Virenscanner meldet folgendes:

Die Datei C:\WINNT\system32\ciclient.exe ist mit dem Virus W32.Spybot.Worm infiziert.
Die Datei kann nicht gelöscht werden.

Auf DOS-Ebene ist die Datei nicht zu sehen ?!!??!!

Im Windows-Betrieb ist kein Zugriff möglich, weil in Benutzung!

Mit Knoppix ist der Zugriff verweigert!

Wie werd ich das Ding wieder los!
Wer kann helfen ?

Viele Grüße
Chris

 

im abgesicherten modus habe ich schon probiert!

gleiche symptomatik!

was nun?

Chris

 

Dieses Ding ist wies aussieht ein Backdoor-Wurm. Ich würd sagen da ist Neuaufsetzen angesagt...


-------

Infiziertes System neu aufsetzen:

Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- wichtige Daten sichern (sofern noch möglich)
- Windows neu installieren mit NTFS-Neuformatierung der Systempartition
(oder ein sauberes Image zurückspielen)
- die Service Packs und Patches von der CD installieren
- Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
- Virenwächter installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- Spybot S&D installieren und das System immunisieren
- den IE mit dem Zonenmodell sicherer machen
- die automatische Windows-Update Funktion aktivieren
- alle anderen Partitionen auf Schädlinge prüfen
- die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
NIE ausführbare Dateien zurückspielen

-------


Der Schädling verbreitet sich übrigens über Filesharing oder Windows-Lücken.
http://www.bsi.bund.de/av/vb/spybot.htm

 

http://www.pcwelt.de/forum/thread152830.html

 

STINGER heißt das Schlüsselwort!! Mensch war das Vieh hartnäckig, aber der Stinger hat es löschen können.

Puh - nochmal Glück gehabt.

viele Grüße
Chris

 

Das System muss nach dieser Kompromittierung neu aufgesetzt werden. Alles andere ist Flickwerk und keinesfalls zu empfehlen.

Von "Glück gehabt" kann also nicht im Entfertesten die Rede sein. Lies einmal hier:

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html

 

Das Ding war doch aktiv, also muss man davon ausgehn dass Fremde Zugriff auf deinen Rechner hatten. Neuaufsetzen wäre ideal, wenn du das nicht willst dann ändere zumindest alle deine Passwörter.

 

Hm - das macht mich jetzt aber nachdenklich....

ich hatte das ding "ciclient.exe" mit meiner firewall ständig blockiert und jegliche zugriffsversuche untersagt.

was meint Ihr dazu?

Gruß
Chris

 

Wie gesagt, Passwörter ändern solltest du auf jeden Fall. Nur um sicher zu gehn.