Virus W32/Parite.B wer kann helfen???????????

[Hypopotamus]

Ich bin völlig mit den Nerven am Ende. Gerade aus dem Urlaub zurück und endlich heute DSL installiert. Und nun habe ich den Virus W32/Parite.B. Antivir zeigt andauernd daß er im Temp-Ordner von Windows sitzt. Kann ich den einfach löschen. Habe schon gegoogelt, aber was ich da gelesen habe, hat mich eher noch mehr aufgeregt. Wie soll ich denn am besten vorgehen?

[RoadRunner]

Hallo Claudia

Einfach löschen nützt nichts, da möglicherweise schon andere Dateien befallen sind. Ausserdem wird er beim Systemneustart automatisch wieder ins Verzeichnis rein kopiert (via Windows-Recovery).

Kann denn AntiVir das Ding nicht entfernen? Dies wäre sicher die beste Möglichkeit! Evt. fehlt nur der zweite Schritt: Zusätzlich sollte die Systemwiederherstellung vorübergehend ausgeschalten werden. Wie das geht, steht auf http://www.sophos.de/support/pedis.html unter "Systemwiederherstellung und Windows XP". ACHTUNG! Mit diesem Schritt "vergisst" die Systemwiederherstellung alle alten Infos. Du kannst also nie mehr zu einer älteren Installation von Windows zurückwechseln.

Gruss Roger

[peter]

Hallo Claudia

Keine voreilige Panik!

Versuchs mal mit diesem Removal Tool:

http://www.pandasoftware.com/virus_info ... irus=18181

Hier die Anleitung:

- Download the free utility Panda QuickRemover
- Save the file in any folder you want in your computer.
- If you have a computer network, it is advisable to physically disconnect all machines (workstations and servers) from the network.
- Run Panda QuickRemover by double-clicking on the file and follow the instructions.
- Repeat the operation above for every computer, especially if they are connected to a network.
- If you have a computer network, once you have carried out the operations above in all computers you can reconnect them to the network.

Viele Grüsse

Peter

PS: Ist Dein Virenschutz aktiv und die Virendatei aktuell?

[eindet]

Hallo Claudia,

Ich bin völlig mit den Nerven am Ende. Gerade aus dem Urlaub zurück und endlich heute DSL installiert. Und nun habe ich den Virus W32/Parite.B. Antivir zeigt andauernd daß er im Temp-Ordner von Windows sitzt. Kann ich den einfach löschen. Habe schon gegoogelt, aber was ich da gelesen habe, hat mich eher noch mehr aufgeregt. Wie soll ich denn am besten vorgehen?

Wenn du ihn erfolgreich eliminiert hast, empfehle ich dir auf jeden Fall einen anderen Virenscanner. Zudem solltest du die Virendefinationen sehr oft updaten - sollte mit DSL nun ja kein Problem mehr sein.
AntiVir hat bei allen letzten Tests sehr schlecht abgeschnitten. Wenn du es etwas sicherer haben möchtest empfehle ich dir MCafee oder Kaspersky. Norton macht das System leider sehr träge.
Zu deinem jetzigen Problem:
Stinger von McAfee könnte dir helfen (leider im Mom. wenig Zeit - bin schon auf'm Sprung), wenn er es auf dem Rechner selbst nicht tut, so bitte einen Bekannten deine Platte in seinem System als Slave einzusetzen, am besten als externe Platte. Dadurch wird der Virus nicht aktiv, hält sich nicht resistend im Speicher und kann dadurch eliminiert werden.
Viel Glück
Detlev

P.S. Deine Daten werden durch diesen Wurm nicht angegriffen, jedoch können mit der Zeit alle ausführbaren Dateien (*.exe) zerstört werden, dadurch ist es erforderlich schnell zu handeln und das System so wenig wie möglich zu nutzen.

[Hypopotamus]

Danke für Euren Zuspruch. Ich habe die Systemwiederherstellung ausgeschaltet und dann im abgesicherten Modus Antivir laufen lassen. Zusätzlich noch den von Peter genannten PandaQuickRemover. Dann habe ich gestern erstmal den Rechner ausgeschaltet. Nachts um halb12 reichte es mir einfach.
Nun heute eingeschaltet und schon das schlimmste befürchtet. Aber momentan gibt es keine neuen Meldungen. Nach den Horrormeldungen die ich in diversen Foren gelesen habe, kann ich es gar nicht glauben, daß ich den Virus schon wieder los habe.
Noch nie in meiner ganzen Internetzeit hatte ich einen Virus. Und nun daß, erst große Freude über den neuen DSL-Zugang (ist übrigens der absolute Oberhammer - endlich kann ich die Seiten anschauen, die ich schon lange sehen wollte).
Dabei sollte ich jetzt eigentlich sicherer sein, da ich außer meiner Softwarefirewall, ja auch noch das Fritz DSL Modem mit eingebauten Hardware-Schutz habe.

[RoadRunner]

Freut mich, dass du deinen Virus los geworden bist!

Dabei sollte ich jetzt eigentlich sicherer sein, da ich außer meiner Softwarefirewall, ja auch noch das Fritz DSL Modem mit eingebauten Hardware-Schutz habe.

Da auch dieser Schutz nur die "Türen" (Ports) überwacht, aber Lücken in Internet Explorer, Outlook usw. bzw. von dir selbst ausgeführte Programme oder geöffnete Attachments nicht überprüft, ist ein aktueller und zuverlässiger Virenschutz dennoch unerlässlich. Ausserdem solltest du auch dein Windows regelmässig updaten, da damit oft bekannte Sicherheitslücken geschlossen werden.

Ich wünsche dir trotzdem viel Spass mit deiner neuen Hochgeschwindigkeitsleitung!

Gruss Roger

[stefant]

Falls noch Probleme auftreten:

Ein paar Infos von antivir.de:

W32/Partie.B

Vireninformation
Virus Alias
PE_PARITE.A (Trend), W32.Pinfi (Symantec), W32/Parite-B (Sophos), W32/Parite.B (F-Prot), W32/Parite.B (Panda), W32/Pate.a, W32/Pate.b.dll, W32/Pate.b.tmp, Win32.Parite.b (AVP), Win32.Pinfi.A (CA)

Dateigröße
177 kB

Virustyp Wurm

Betroffene Betriebssysteme
Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003

Schadensroutine
Verbreitung über gesharte Netzwerke

Technische Details
Infektion
W32/Partie.B hängt PE EXE und SCR Dateien an das Windows Verzeichnis und an Subverzeichnisse an. Er behält dabei seine Orginalgröße nicht.
Der Wurm erstellt folgenden Registry- Eintrag:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\PINF

Einige Applikationen können nach der Beseitigung der Wurms nicht wieder hergestellt werden.

Verbreitung
Er Wurm fügt eine UPX gepackte ausführbare Datei in das Verzeichnis des Benutzers ein und führt sie aus.
Diese Datei ist tatsächlich eine DLL- Datei mit einer Länge von 176,128 Bytes, die einen willkürlichen Dateinamen mit der Dateierweiterung .TMP trägt. Diese Datei infiziert den EXPLORER.EXE Prozess, deswegen verbleibt der Virus auch im redistenten Speicher.

Entfernung Windows 9x
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.

Entfernung Windows 2000
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.


Weitere Infos auch bei Sophos:
http://www.sophos.de/virusinfo/analyses/w32pariteb.html

Es scheint, dass die gängigen und aktuellen Scanner diesen Gilb erkennen und knacken können.

[Hypopotamus]

Kann es sein, daß es mit DSL ein Viren und Wurmproblem gibt? Kaum habe ich den einen besiegt, schreit mein Antivir ich hätte mir den Wurm Rbot.KT eingefangen. Der hat Winsysi.exe und MSBB.exe befallen. Ich wieder in den abgesicherten Modus und die Dateien gelöscht. Hat der nun die Winsysi.exe und MSBB.exe gelöscht oder nur den Code?
Ich verstehe es echt nicht, mit Analogmodem ist da noch nie was passiert.
Vor allen Dingen weiß ich nicht in was für einen Zustand mein System mittlerweile ist. Falls ich neu installieren muß, meine Frage schon mal vorweg. Windows XP liegt auf Partition C: und meine Daten auf D:. Wie funktioniert es wenn ich wirklich neu installieren muß?

[RoadRunner]

Nein, DSL ist an sich nicht gefährlicher als analog. Da man aber mit DSL eher länger am Netz bleibt, sind entsprechende Vorkehrungen natürlich viel wichtiger.

Ich habe letzthin in einer Computerzeitschrift gelesen, dass ein x-beliebiger PC im Durchschnitt 20 Minuten nach Verbindungsaufnahme mit dem Internet angegriffen wird... Man/frau rechne!

In deinem System scheint jedenfalls ein ziemlich grosses Tor offen zu stehen. Fragen, die du dir stellen solltest: Sind Browser und Betriebssystem up-to-date, d.h. alle wichtigen Patches installiert? Öffnest du Emails mit Attachments (egal ob von Bekannten oder nicht)? Ist die Firewall richtig konfiguriert? Hast du ein Tool wie Ad-Aware (die neuste Version, SE personal, ist leider z.Z. nur in Englisch erhältlich unter http://www.lavasoft.de), das auf deinem PC installierte Spyware und ähnliches Gesindel findet?

Leider kenne ich Antivir nicht, kann also auch nicht sagen, was mit deinen Dateien geschehen ist. Aber da gibts sicher noch Experten in der Runde!

Ich hoffe, dein PC ist bald wieder in einem stabilen Zustand!

Gruss Roger

[Hypopotamus]

Hallo Roadrunner,
als ich die Meldung von der Telekom bekam, daß ich DSL nutzen kann habe ich (und andere im Forum) den PC getestet. Es ging damals um das Thema Routersicherheit ja oder nein. Und da war mein PC unantastbar. Darum verstehe ich es nicht, was plötzlich los ist.

Nun habe ich aber mal eine ganz blöde Frage: Wenn Antivir im Hintergrund läuft und einen Wurm meldet, ist der dann schon auf dem Rechner und muß das Programm diesen automatisch abwehren ohne daß ich es merke?

Ich stelle mal meine Protokolldatei in Auszügen rein:

18.09.2004,14:27:09 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
18.09.2004,14:27:09 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaad6d9.
18.09.2004,14:27:10 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.KT!
C:\WINDOWS\SYSTEM32\MSBB.EXE
18.09.2004,14:27:24 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.HV!
C:\WINDOWS\SYSTEM32\WINSYSI.EXE
18.09.2004,14:27:30 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.KT!
C:\WINDOWS\SYSTEM32\MSBB.EXE
18.09.2004,14:27:37 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.HV!
C:\WINDOWS\SYSTEM32\WINSYSI.EXE
18.09.2004,14:28:16 [INFO] Stop Filter Device.
18.09.2004,14:28:17 [EXIT] Der AVGuard Dienst wurde beendet!
18.09.2004,15:51:30 [INIT] Der AVGuard Service wird gestarted.
18.09.2004,15:51:34 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
18.09.2004,15:51:37 [INFO] Start Filter Device.
18.09.2004,15:51:37 [INIT] AntiVirService Version: 6.26.00.10 AVE Version 6.27.0.4 VDF Version: 6.27.0.66
18.09.2004,15:51:37 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
18.09.2004,15:51:39 [INFO] Stop Filter Device.
18.09.2004,15:51:40 [EXIT] Der AVGuard Dienst wurde beendet!
18.09.2004,17:04:35 [INIT] Der AVGuard Service wird gestarted.
18.09.2004,17:04:40 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
18.09.2004,17:04:42 [INFO] Start Filter Device.
18.09.2004,17:04:42 [INIT] AntiVirService Version: 6.26.00.10 AVE Version 6.27.0.4 VDF Version: 6.27.0.66
18.09.2004,17:04:42 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
18.09.2004,17:04:58 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\KURT HOFGäRTNER\ANWENDUNGSDATEN\MICROSOFT\PROTECT\CREDHIST
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.09.2004,17:05:01 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
18.09.2004,17:05:01 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1afe.
18.09.2004,18:05:31 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.HV!
C:\DOKUMENTE UND EINSTELLUNGEN\KURT HOFGäRTNER\LOKALE EINSTELLUNGEN\TEMP\PAV1F.TMP
[INFO] Die Datei wurde gelöscht!
18.09.2004,18:41:47 [INFO] Stop Filter Device.
18.09.2004,18:41:48 [EXIT] Der AVGuard Dienst wurde beendet!
19.09.2004,11:03:39 [INIT] Der AVGuard Service wird gestarted.
19.09.2004,11:03:44 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
19.09.2004,11:03:46 [INFO] Start Filter Device.
19.09.2004,11:03:46 [INIT] AntiVirService Version: 6.26.00.10 AVE Version 6.27.0.4 VDF Version: 6.27.0.66
19.09.2004,11:03:46 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
19.09.2004,11:03:47 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\KURT HOFGäRTNER\ANWENDUNGSDATEN\MICROSOFT\PROTECT\CREDHIST
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
19.09.2004,11:03:51 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
19.09.2004,11:03:51 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaad3a2.

Gestern abend habe ich schon seitenweise alte PC-Hefte gewälzt, aber so wirklich weitergebracht hat es mich nicht. Vor allen Dinge bin ich mir nicht sicher, ob ein Löschen über das Virenprogramm reicht oder noch Einträge in der Registrierungsdatei gelöscht werden müssen. Da ich auch Online-Banking mache, muß ich sicher sein daß der PC nicht einen spionierenden Wurm drauf hat.

So nun werde ich erstmal die neueste Antivir-Version installieren und einen anderen Browser.

[Hypopotamus]

Also ich habe jetzt noch anderes gemacht. Erstens Mozilla installiert, anstatt IE. Und außerdem ein neues eingeschränktes Benutzerkonto angelegt. Nur noch damit werde ich ins Internet gehen. Jetzt muß ich erstmal schauen, wie ich meinen ganzen Favoriten in den Mozilla bekomme. Habe die letzten fünf Jahre immer nur den Explorer verwendet.
Und ich werde mir Panda Platinum Antivirus kaufen.. Das soll ja sehr gut sein.
So und nun muß ich mal sehen wie ich in XP die automatischen Updates aktiviere. Bis jetzt habe ich sie nie gemacht. Aber nur aus dem Grund, da es mit einer analogen Verbindung einfach Blödsinn ist, diese Updates zu starten.

[SKy]

Hallo Claudia,

das mit den automatischen Updates würd ich mir noch mal überlegen.
Ich persönlich bin dagegen
warum?
weil MS dann ständig auf deinem PC rumhängt
ServicePack 2 hat fast nur negative Berichterstattung.
die sicherheitslücken sind meist in Anwendungen (va IE und Outlook) und nicht im System selbst.

ausserdem halt ich es nicht für nötig, vorausgesetzt du verwendes die MS Produkte nicht (oder kaum). Vor allem den MSMessenger sollte man deinstallieren, da der ständig im Netz ist.
Den IE hast Du ja schon in den Wind geschossen. Wenn Du jetzt noch Outlook und den MediaPlayer durch andere ersetzt (Netscape und Winamp zum Beispiel) und eine ordentliche Firewall installierst (meine Empfehlung Sygate oder ZoneAlarm) kann schon nicht mehr viel passieren.
Über Virenscanner wurde ja bereits geschrieben, ich habe mit dem Antivir von H&BEDV sehr gute Erfahrungen gemacht und die Tests die ich kenne bestätigen dies eigentlich.

Leider bist Du direkt im Netz mit einer Fritzcard, denn gegen sowas wie Sasser ist der beste Schutz ein Router.

Naja
ich hoffe Du bekommst das in den Griff

Gruss
SKy

[Hypopotamus]

Hallo Sky,
was gibt es für Alternativen zu Outlook? Windows Media Player verwende ich sowieso nicht, sondern iTunes. Den Messenger werde ich zu gegebener Zeit mal deinstallieren. Aber das soll ja nicht so einfach sein, deswegen schiebe ich es immer vor mir her.

[KlaWeLi]

was gibt es für Alternativen zu Outlook?

Hallo Claudia,

wir haben in 2 Threads schonmal ausführlich die Alternativen hier im Forum diskutiert, deshalb verweise ich Dich nur auf diese Beiträge. Suche einfach mal nach dem Begriff "gemail".
Dieses Mailprogramm kann ich Dir wärmstens empfehlen! Mittlerweile gibt es das auch als kostenpflichtige Version (für 19,95 €), aber die sehr gute Version 1.6 ist kostenlos. Ich verwende sie selber, ebenfalls meine Kinder und wir sind sehr zufrieden. Einfach mal testen!

Den Messenger werde ich zu gegebener Zeit mal deinstallieren. Aber das soll ja nicht so einfach sein, deswegen schiebe ich es immer vor mir her.

Für den Anfang reicht es schon, einfach die Datei msmsg.exe zu löschen! Weitere Infos findest Du auch in unserem Forum, Stichwort für die Suche "antispy". Mit diesem hilfreichen Freeware-Programm kannst Du auf einfache Art einige "störende" Funktionen abstellen.

Viel Erfolg!

[Hypopotamus]

Danke Klaus, habe die Postings schon gefunden. Werde mir Gemail mal saugen und ausprobieren.

Firewall von Sygate (kostenlose Version, fürs erste) habe ich mir auch installiert. Und sämtliche Updates von Microsoft. Da habe ich vielleicht geschaut. Es waren 37 an der Zahl und alles Sicherheitsupdates.

Jetzt wenn mich noch jemand sagen kann, ob dieser Wurm wirklich weg ist, wenn ihn Antivir nicht mehr findet, kann ich ja fürs erste zufrieden sein.

Aber die Pro-Version von Sygates Firewall und den Virenscanner von Panda lege ich mir trotzdem noch zu.

[Hypopotamus]

Ich komme gerade von der Seite die wir vor einigen Wochen wegen der Sicherheit schon mal ausprobiert haben http://webscan.security-check.ch

Damals war ja alles in Ordnung und ich kann mich ehrlich gesagt nicht mehr erinnern was auf der ersten Seite stand. Jetzt lautet der Einleitungstext so:

Full Scan

Die von Ihnen sichtbare IP-Adresse ist ???.128.??.73, welcher via DNS der Name p????????????.dip0.t-ipconnect.de zugewiesen wurde. Auf diese Adresse kann grundsätzlich jeder aus dem Internet zugreifen, um offene Dienste auf Ihrem Rechner anzugreifen (z. B. kann versucht werden, auf freigegebene Laufwerken zuzugreifen).

Die Fragezeichen habe ich da reingemacht, stehen sonst natürlich Zahlen drin. Jetzt habe ich ja die Firewall. Ist da irgendwas verkehrt eingestellt? Momentan bin ich echt völlig konfus, weil so viele neue Programme auf dem Rechner sind.

[Hypopotamus]

So nun nochmal ich. Aber Ihr seit die einzigen die ich fragen kann. Habe absolut niemand in meiner Umgebung, der auch nur den Hauch einer Ahnung hat.

Seit ich die Firewall habe kommt bei der Einwahl über FritzDSL immer folgende Meldung:

FRitz DSL will sich über transfer.profidialer.de einwählen. Jedenfalls habe ich es so verstanden.

Das ist die ausführliche Version:

File Version : 3.4.1.0
File Description : FRITZ!web DSL (FritzDsl.exe)
File Path : d:\Programme\FritzDsl.exe
Process ID : 0x2EC (Heximal) 748 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.122.254
Local Port : 3074
Remote Name : transfer.profidialer.de
Remote Address : 195.20.224.188
Remote Port : 80 (HTTP - World Wide Web)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-00-c0-a8-7a-01
Source: 00-04-0e-ff-ff-ff
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x6de9 (Correct)
Source: 192.168.122.254
Destination: 195.20.224.188
Transmission Control Protocol (TCP)
Source port: 3074
Destination port: 80
Sequence number: 3865531502
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x8e61 (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 00 C0 A8 7A 01 00 04 : 0E FF FF FF 08 00 45 00 | ....z.........E.
0010: 00 30 31 E2 40 00 80 06 : E9 6D C0 A8 7A FE C3 14 | .01.@....m..z...
0020: E0 BC 0C 02 00 50 E6 67 : 54 6E 00 00 00 00 70 02 | .....P.gTn....p.
0030: FA F0 61 8E 00 00 02 04 : 05 B4 01 01 04 02 69 6C | ..a...........il
0040: 6C 61 03 6F 72 67 00 00 : 01 00 01 43 | la.org.....C


Die ersten zwei Mal habe ich es mit ja bestätigt, denn ich kann mir nicht vorstellen, daß die FritzBox einen Dialer anwählt. Aber dann habe ich lieber no eingegeben. Dann wird die Leitung trotzdem geöffnet. Was soll denn das nun bedeuten?

[RoadRunner]

Phu, läuft ja ganz viel in diesem Beitrag...!

Die von Ihnen sichtbare IP-Adresse ist ???.128.??.73, welcher via DNS der Name p????????????.dip0.t-ipconnect.de zugewiesen wurde.

Das braucht dich nicht zu beunruhigen. Es ist zwingend nötig, dass dein PC eine erkennbare IP-Adresse hat. Sonst wüsste z.B. ein Webserver gar nicht, wohin er die von dir aufgerufene Seite schicken soll. Erst die folgenden Prüfungen zeigen dann die Schwachstellen auf.

Gruss Roger

[KlaWeLi]

Hallo Claudia,

grundsätzlich erstmal folgendes: bei DSL gibt es keine Wählverbindung mehr (weshalb Du auch keine Angst mehr vor Dialern haben musst).

Da Du von dem Profidialer sprichst, vermute ich, Du bist bei 1und1 Kunde. Die bieten dieses Einwählprogramm an, welches Du aber nur benötigst, wenn Du Dich per ISDN oder analog einwählst (aber selbst dann geht es auch ohne, es soll die Sache nur erleichtern).

Da Du jetzt DSL hast, wird über Deine Zugangskennung und Dein Passwort quasi eine Standleitung aufgebaut.

Schau mal nach, was Du im Internetexplorer unter "Extras-Internetoptionen-Verbindungen" stehen hast. Dort sollte "keine Verbindung wählen" aktiv sein. Unter LAN-Einstellungen kannst Du alles so lassen, wie es ist (keine Häkchen!).

Und da Du ja jetzt auf den Firefox umgestiegen bist, auch hier die nötige Einstellung:
"Extras-Einstellungen-Allgemein-Verbindungseinstellungen", hier dann "Direkte Verbindung zum Internet" anhaken.

Damit sollte die FritzCard dann Ruhe geben und keine Verbindung mehr anwählen.
Eigentlich wundere ich mich, daß Du überhaupt ins Internet kommst mit diesen "Wähleinstellungen". Oder hast Du noch Deine alte ISDN-Karte angeschlossen?

Aber möglicherweise habe ich Deine Ausführungen falsch verstanden.
Zu merken ist: DSL=keine Wählverbindung

[stefant]

Puh, viele Fragen. Ich will mal versuchen, die Sache etwas aufzudröseln.

Kaum habe ich den einen besiegt, schreit mein Antivir ich hätte mir den Wurm Rbot.KT eingefangen. Der hat Winsysi.exe und MSBB.exe befallen. Ich wieder in den abgesicherten Modus und die Dateien gelöscht. Hat der nun die Winsysi.exe und MSBB.exe gelöscht oder nur den Code?

Das kommt auf Antivir an. Ein gute Firewall fängt den Angriff vorher ab. Ein Antivirenprogramm mit aktuellen Signaturen sollte den Scheiss eliminieren können.

Falls ich neu installieren muß, meine Frage schon mal vorweg. Windows XP liegt auf Partition C: und meine Daten auf D:. Wie funktioniert es wenn ich wirklich neu installieren muß?

Bei einer sauberen Trennung kannst Du Partition D: in Ruhe lassen. Es muss nur die Partition C: neu formatiert werden. XP Kann nicht wie einst W98 einfach drüber geklatscht werden. Allerdings müssen dann natürlich auch alle anderen Programme ebenfalls neu installiert werden.

Vor allen Dinge bin ich mir nicht sicher, ob ein Löschen über das Virenprogramm reicht oder noch Einträge in der Registrierungsdatei gelöscht werden müssen. Da ich auch Online-Banking mache, muß ich sicher sein daß der PC nicht einen spionierenden Wurm drauf hat.

Welche Routine notwendig ist, umd Dein System wieder sauber zu bekommen, hängt vom Virus/Wurm/Trojaner ab. Meist reicht es aber nicht die befallene Datei zu löschen - und wenn es eine Systemdatei ist, von der Insatallations CD neu z uinstallieren. Das Löschen kann unter Umständen Dein System auch instabil bis zum Nicht-mehr-funktioneren machen . Was das Online-Bankin angeht: Sicherer als das PIN/TAN ist das HBCI-Verfahren. Da wird ein chiplartenleser verwendet. Ist aber aufwendiger und es wird nicht von allen Banken angeboten.

Also ich habe jetzt noch anderes gemacht. Erstens Mozilla installiert, anstatt IE. Und außerdem ein neues eingeschränktes Benutzerkonto angelegt. Nur noch damit werde ich ins Internet gehen. Jetzt muß ich erstmal schauen, wie ich meinen ganzen Favoriten in den Mozilla bekomme.

Mozilla ist eine gute Wahl. Derzeit ist 1.7.2 aktuell. Mit Mozilla kannst Du gleichzeitig Outlook/Outlook Express als Mailprogramm in Rente schicken.
Die FAvoriten = Lesezeichen in Mozilla sollten automatisch bei der Installation importiert werden laut Hilfe-Anleitung. Wenn nicht, geht das manuell ganz einfach: Lesezeichen - L. bearbeiten - Extras - Importieren. Ähnlich einfach kannst Du Dein Adressbuch und Newsgroups aus Outlook importieren.

Eingeschränkte Benutzerrechte ohne Adminfunktionen sollte man grundsätzlich verwenden, wenn man ins Internet geht. Die Infektionsmöglichkeiten sind dann wesentlich eingeschränkter, wie mit Admin-Rechten. NAch Updates schaue ich zwar regelmässig, aber immer selber, ohne automatisches Update. Dafür ist übrigens idR der IE nach wie vor notwendig, weil Microsoft andderer Brwoser blockt. Also: auch zukünftig alle Updates für IE installieren!

ServicePack 2 hat fast nur negative Berichterstattung.
die sicherheitslücken sind meist in Anwendungen (va IE und Outlook) und nicht im System selbst.
Vor allem den MSMessenger sollte man deinstallieren, da der ständig im Netz ist.
SKy

SP2 läuft - zumindest bei mir - bisher ohne Probleme. Den Messnger und andere unschöne Einstellungen von XP kann man mit XP-Antispy (http://www.xp-antispy.org/) ganz einfach loswerden.

Ich persönlich verwende in regelmässigen Abständen
a2 free http://www.emsisoft.de/de/
Ad-aware SE http://www.lavasoft.de
Beide Proggis suchen nach Trojanern und Würmern aller Art und sind kostenlos.

Ich hoffe, Du kommst damit etwas weiter in Richtung sauberes System