Virenproblem:
Also ich schlag mich jetzt schon ne weile mit dem virus „w32.bobax.N“ herum. Das problem, mein virenscanner findet ihn zwar, kann ihn allerding nur teilweise entfernen bzw. findet ihn nicht komplett.
Folgende konstellation des systems:
2 konten, nennen wir sie mal K1 und K2. K1 ist eingeschränkt und K2 ist admin.
Der virus tritt immer nur in C\Dokumente...\K2\lok. E.\Temp\~df1.tmp auf.
Will ich ihn nun mit k2 isolieren oder löschen verweigert die datei den zugriff, also ich das konto k1 als admin gesetzt und dann den virus in der datei ~df1.tmp incl. Datei entfernt. Auch bei einem kompletten scan des systems kommt keine viruswarnung mehr. Wenn ich jetzt neu starte, dann ist der virus wieder da, und zwar immer nur auf dem admin konto, oder wenn ich beide als admin lasse auf beiden konten identisch in
C\dok...\k1 (oder halt k2)\lok.e.\tempo\~df1.tmp
Der scanner mault rum, weil infizierte datei gefunden, die er nicht isolieren kann, und die ganze prozedur von vorn. langsam die schnauze voll, weil jetzt schon zum x-ten mal das gleiceh spiel. Wo oder wie bitte finde ich die ur-datei mit dem virus, denn laut infos im www sind die ~dfX.tmp-dateien nbur kopien, die der bobax-virus anlegt. Nur halt mein norton findet die infizierte datei nicht, obwohl aktuell virendefinition.
Weiß hier jemand rat, wie ich das problem dauerhaft lösen kann?
Btw, format c: ist keine akzeptable alternative!

Lösch deinen Cache im Internet Explorer:

Extras -> Internetoptionen -> (Gleich im ersten Dialog) "Dateien löschen".

Wenn du den IE nicht benutzt, schätze ich mal du weißt wie das geht, beim Browser deiner Wahl.

Lösch deinen Cache im Internet Explorer:

Extras -> Internetoptionen -> (Gleich im ersten Dialog) "Dateien löschen".

Wenn du den IE nicht benutzt, schätze ich mal du weißt wie das geht, beim Browser deiner Wahl.
Er hat doch geschrieben, daß er trotz Entfernung nach 'nem Neustart wieder present ist.

Ich habe eher die Vermutung, daß du ein Sicherheitsloch stopfen mußt, was übrigens auch Symantec (http://securityresponse.symantec.com/avcenter/venc/data/w32.bobax.n.html) vorschlägt und dringend empfiehlt, zumindest bei 2k/XP.

Dort steht eigentlich ziemlich genau beschrieben, wie du den Wurm zertrittst. ;)

Er hat doch geschrieben, daß er trotz Entfernung nach 'nem Neustart wieder present ist.

Ich habe eher die Vermutung, daß du ein Sicherheitsloch stopfen mußt, was übrigens auch Symantec (http://securityresponse.symantec.com/avcenter/venc/data/w32.bobax.n.html) vorschlägt und dringend empfiehlt, zumindest bei 2k/XP.

Dort steht eigentlich ziemlich genau beschrieben, wie du den Wurm zertrittst. ;)

Er sollte das aber trotzdem mal probieren, das hat er nämlich nicht getan.
BTW, wenn ihn der Wurm erwischt hat, dann würde er sowieso nicht auf die Symantec Seite kommen. ;)


Appends the following string to the %System%\drivers\hosts file in order to block access to several security-related Web sites

also ich hab zum einen das sp2 installiert, damit wäre das update von win xp hinfällig, denn dann kommt immer das meine version auf dem rechner neuer ist, als die die ich installieren will. als nächstes hab ich als browser firefox, und letztendlich bin ich immer nur als eingeschr. benutzer im www, es sei denn ich update meinen norton antivirus, denn der will unbedingt admin rechte. somit muß ich mir bei einer dieser updates das teil eingefangen haben.

wie schließe ich spezielle ports? (TCP 445+ alle >1024) ich habe die sygate firewall.
wie entferne ich die einträge aus der registry, ohne viel schaden anzurichten?

auf die seite von symantec komme ich allerdings. wie schon gesagt, kaspert der virus nur im admin konto rum und ich bin grad im anderen konto online.

Hmh... *kratzambart* Für gewöhnlich lässt Sygate nichts an Würmern, die sich über Ports reinschieben, rein. Allerdings ist Sygate etwas murksig im Zusammenhang eines Multiuserwindows' da die Firewall AFAIK nur unter dem Useraccount gestartet wird, mit dem man sich am Anfang einloggt. Wechselt man einfach nur den User ohne sich zuvor auszuloggen, wird die Sygate-Firewall für das andere Konto nicht gestartet und ist AFAIK für diesen auch nicht aktiv. Was natürlich sehr beknackt ist...
Ich bin ein großer Fan von Sygate, nur ist das wirklich müllig gelöst. Ich würde dir vorschlagen, das du dich entweder daran gewöhnst, dich immer komplett abzumelden wenn du den Benutzeraccount wechselst, oder dich mal umhörst ob es da eine Firewall gibt (nehm aber bitte nicht Zone Alarm) die das besser gelöst hat. (Kerio?)

Ich würde dir empfehlen alles an Programmen zu blocken das nicht zwingend Internetzugang braucht. Das ist bei den WindowsXP-Services gut 90%.
Mitunter auch kernel32.dll, rundll32.exe, explorer.exe, ...
explorer.exe allerdings nicht wenn du ihn als FTP-Client nutzt.

Wenn du dennoch Ports an der Firewall blocken willst (Ich hab hier nur die deutsche Version):
Werkzeuge -> Erweiterte Regeln... -> Hinzufügen -> Name für die Regel vergeben -> Ports und Protokolle -> TCP oder UDP (Du solltest dann für beide Protokolle je eine Regel anlegen)