Ernsthafte Probleme bei der Bekämpfung von TR/Dldr.ConHook.Gen

Copperhead · 31.01.2008, 14:32

Servus Leute,

also erstmal entschuldigt das ich noch einen Treat zu diesem Plagegeist aufmache, aber ich kenne mich bisher noch nicht so gut mit den angegebenen Programmen aus.

Mein Problem sieht folgendermaßen aus: AntiVir meldet mir mehrfach täglich, das es den Trojaner TR/Dldr.ConHook.Gen gefunden hat. Wie euch bekannt ist, kann man diesen mit AntiVir auch nicht löschen. Auch manuell hat es keinen Sinn, die betroffenen .dll-Dateien zu löschen, kurz darauf kommt die Meldung wieder. Also habe ich beschlossen, mich näher zu informieren. Dabei bin ich in diesem Forum auf einen Link zum Programm SPYWAREfighter gestoßen. Leider habe ich diesen nicht ignoriert, und einfach weiter gelesen, stattdessen habe ich das Programm downgeloadet und installiert.

Die Folge davon war, das mein Rechner sofort runtergefahren ist und versuchte zu rebooten. Allerdings erfolglos, denn sobald in der Taskleiste das Symbol (schwarzer Hut mit Augen) auftauchte, versuchte der Rechner neu zu starten.

Also habe ich den Rechner im abgesicherten Modus gestartet, um das Problem zu beheben. Über Systemsteuerung\Software konnte man das Programm zunächst nicht entferen, direkt aus dem Programmmenue auch nicht löschen.

Testweise versuchte ich daraufhin, das Programm auszuführen, dann allerdings versuchte es meherere Minuten mit einem Server zu kommunizieren, aber diesen Vorgang habe ich nach mehereren Minuten abgebrochen.

Daraufhin bin ich direkt in den Ordner C:\Programme gegangen, um dort manuell zu löschen. bis auf zwei dll-Datein ging auch alles zu entfernen, diese beiden habe ich dann umbenannt und den Rechner neu gestartet.

Als er wieder hochfuhr, sah Windows zunächst sehr "jungfräulich" aus (ist das normal, dass nach dem abgesicherten Modus einen Standarthintergrund hat und alle Verknüpfungen weg sind?). Ich konnte nun auch die beiden ehemaligen dll-Dateien löschen, da das Programm nicht in der Lage war, selbständig zu starten.

Nun habe ich entsprechend der Anweisungen in einem anderen Treat zum Thema ein logfile erstellt, kann damit aber recht wenig anfangen. Deshalb poste ich es hier:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:01:04, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***.***\Desktop\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50EF9C6D-4A64-4650-A20C-E9B062FA62F9} - C:\WINDOWS\system32\awvvs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {91262C60-DD10-46FA-A09B-AE14902ECA11} - C:\WINDOWS\system32\tuvsqop.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnkkjg - nnnkkjg.dll (file missing)
O20 - Winlogon Notify: tuvsqop - C:\WINDOWS\SYSTEM32\tuvsqop.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programme\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe Ihr könnt mir helfen,

Mit freundlichen Grüßen einer baldigen Antwort harrend,

Copperhead

myrtille · 31.01.2008, 15:00

Hi,
führe bitte mal die beiden folgenden Anleitungen durch und melde dich dann mit den Logfiles wieder hier.

Vundofix
* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
*Poste das Log hier. Sollte es sich nicht von selber öffnen, findest du es unter C:\Vundofix.txt

Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

lg myrtille

Copperhead · 31.01.2008, 16:04

Servus,

hier die angeforderten Files. Dazu muss ich sagen, das VundoFix die folgende Datei nicht removen konnte: C:\Windows\system32\tuvsqop.dll.

Zitat:

VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 15:25:39 31.01.2008

Listing files found while scanning....

C:\WINDOWS\system32\pmnnolk.dll
C:\WINDOWS\system32\tuvsqop.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\pmnnolk.dll
C:\WINDOWS\system32\pmnnolk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tuvsqop.dll
C:\WINDOWS\system32\tuvsqop.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\tuvsqop.dll
C:\WINDOWS\system32\tuvsqop.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Und nun die anderen Log-files:

Zitat:

Verzeichnis von C:\

31.01.2008 15:49 715 VundoFix.txt
31.01.2008 15:47 1.207.959.552 pagefile.sys
31.01.2008 14:02 2.710 rollback.ini
04.09.2007 16:55 512 ScanSectorLog.dat
22.02.2007 17:40 268 sqmdata00.sqm
22.02.2007 17:40 244 sqmnoopt00.sqm
18.01.2007 02:39 268 sqmdata19.sqm
18.01.2007 02:39 244 sqmnoopt19.sqm
18.01.2007 00:39 268 sqmdata18.sqm
18.01.2007 00:39 244 sqmnoopt18.sqm
18.01.2007 00:28 268 sqmdata17.sqm
18.01.2007 00:28 244 sqmnoopt17.sqm
18.01.2007 00:22 268 sqmdata16.sqm
18.01.2007 00:22 244 sqmnoopt16.sqm
13.01.2007 23:01 268 sqmdata15.sqm
13.01.2007 23:01 244 sqmnoopt15.sqm
10.01.2007 23:07 268 sqmdata14.sqm
10.01.2007 23:07 244 sqmnoopt14.sqm
10.01.2007 20:14 268 sqmdata13.sqm
10.01.2007 20:14 244 sqmnoopt13.sqm
10.01.2007 16:39 211 boot.ini
10.01.2007 11:46 268 sqmdata12.sqm
10.01.2007 11:46 244 sqmnoopt12.sqm
07.01.2007 18:11 268 sqmdata11.sqm
07.01.2007 18:11 244 sqmnoopt11.sqm
05.01.2007 11:15 268 sqmdata10.sqm
05.01.2007 11:15 244 sqmnoopt10.sqm
05.01.2007 01:37 268 sqmdata09.sqm
05.01.2007 01:37 244 sqmnoopt09.sqm
05.01.2007 00:18 268 sqmdata08.sqm
05.01.2007 00:18 244 sqmnoopt08.sqm
04.01.2007 21:59 268 sqmdata07.sqm
04.01.2007 21:59 244 sqmnoopt07.sqm
03.01.2007 02:51 268 sqmdata06.sqm
03.01.2007 02:51 244 sqmnoopt06.sqm
02.01.2007 15:41 268 sqmdata05.sqm
02.01.2007 15:41 244 sqmnoopt05.sqm
31.12.2006 15:39 268 sqmdata04.sqm
31.12.2006 15:39 244 sqmnoopt04.sqm
31.12.2006 01:48 268 sqmdata03.sqm
31.12.2006 01:48 244 sqmnoopt03.sqm
30.12.2006 19:00 268 sqmdata02.sqm
30.12.2006 19:00 244 sqmnoopt02.sqm
30.12.2006 18:24 268 sqmdata01.sqm
30.12.2006 18:24 244 sqmnoopt01.sqm

Verzeichnis von C:\WINDOWS\system32

31.01.2008 15:47 358.830 vsconfig.xml
31.01.2008 15:44 24.576 VundoFixSVC.exe
30.01.2008 21:50 107.832 PnkBstrB.exe
30.01.2008 01:05 4.212 zllictbl.dat
29.01.2008 20:39 242.994 svvwa.ini
29.01.2008 13:28 242.962 svvwa.bak1
28.01.2008 13:28 241.963 svvwa.bak2
27.01.2008 16:22 2.206 wpa.dbl
25.01.2008 01:07 5.120 Thumbs.db
16.01.2008 17:45 43.520 CmdLineExt03.dll
16.01.2008 01:19 37.888 tuvsqop.dll

Verzeichnis von C:\WINDOWS\Prefetch

31.01.2008 15:52 11.568 CMD.EXE-087B4001.pf
31.01.2008 15:52 28.736 7ZG.EXE-189F3F41.pf
31.01.2008 15:51 54.792 AVGNT.EXE-36CA4640.pf
31.01.2008 15:51 91.042 AVNOTIFY.EXE-22AE9451.pf
31.01.2008 15:50 113.464 ACRODIST.EXE-31C6F71B.pf
31.01.2008 15:50 44.692 UPDATE.EXE-13D57D76.pf
31.01.2008 15:50 96.042 FNPLICENSINGSERVICE.EXE-1A968544.pf
31.01.2008 15:50 17.026 PREUPD.EXE-358AA1C1.pf
31.01.2008 15:50 123.112 FIREFOX.EXE-1D57670A.pf
31.01.2008 15:50 48.066 DAEMON.EXE-28AD7272.pf
31.01.2008 15:50 9.954 READER_SL.EXE-1EA4C8B2.pf
31.01.2008 15:50 39.118 ACROTRAY.EXE-0DA18080.pf
31.01.2008 15:50 116.574 IMAPI.EXE-0BF740A4.pf
31.01.2008 15:49 7.342 QTTASK.EXE-282E0584.pf
31.01.2008 15:49 5.728 NEROCHECK.EXE-092C6DFA.pf
31.01.2008 15:49 12.934 DUMPREP.EXE-1B46F901.pf
31.01.2008 15:46 13.150 REGEDIT.EXE-1B606482.pf
31.01.2008 15:39 89.938 WINAMP.EXE-08C38ED9.pf
31.01.2008 15:25 19.072 TASKMGR.EXE-20256C55.pf
31.01.2008 14:56 17.446 GUARDGUI.EXE-1BD45C30.pf
31.01.2008 14:28 58.680 NOTEPAD.EXE-336351A9.pf
31.01.2008 14:10 64.244 UPDCLIENT.EXE-215FC96B.pf
31.01.2008 14:02 63.666 PATCH.EXE-22D0BF7D.pf
31.01.2008 13:53 79.124 MSIEXEC.EXE-2F8A8CAE.pf
31.01.2008 13:14 15.604 SPFPRC.EXE-11BC8BC4.pf
31.01.2008 13:14 7.392 SPYWAREFIGHTER.EXE-037C1FE9.pf
31.01.2008 13:13 94.864 WMIPRVSE.EXE-28F301A9.pf
31.01.2008 13:13 12.156 SPYWAREFIGHTER.EXE-18109957.pf
31.01.2008 04:22 6.488 LOGON.SCR-151EFAEA.pf
31.01.2008 03:08 77.376 HL2.EXE-05EA8230.pf
31.01.2008 01:34 178.568 HELPSVC.EXE-2878DDA2.pf
31.01.2008 01:32 81.750 DFRGNTFS.EXE-269967DF.pf
31.01.2008 01:32 17.536 DEFRAG.EXE-273F131E.pf
31.01.2008 01:32 530.848 Layout.ini
31.01.2008 01:16 67.520 UTORRENT161.EXE-0124FB1E.pf
30.01.2008 22:17 60.102 PNKBSTRB.EXE-21412697.pf
30.01.2008 21:49 44.428 ARMYOPS.EXE-204B0B4C.pf
30.01.2008 21:44 144.550 TEAMSPEAK.EXE-1C1FA5B1.pf
30.01.2008 18:30 122.356 ACROBAT.EXE-310310E2.pf
30.01.2008 18:25 51.644 MSMSGS.EXE-32066BA5.pf
30.01.2008 18:24 86.196 ICQLITE.EXE-2AEFACA7.pf
30.01.2008 13:59 12.414 RUNDLL32.EXE-2C7754F6.pf
30.01.2008 05:42 33.738 SRCDS.EXE-2EC83976.pf
30.01.2008 02:05 35.282 COUNTER-STRIKE.SOURCE.S@JMON.-1BA3F226.pf
30.01.2008 02:04 7.766 RUNDLL32.EXE-451FC2C0.pf
30.01.2008 02:04 30.458 COUNTER-STRIKE.SOURCE.S@JMON.-2757B60A.pf
30.01.2008 02:03 61.584 COUNTER-STRIKE.SOURCE.S@JMON.-02F79B61.pf
30.01.2008 02:02 33.400 COUNTER-STRIKE.SOURCE.S@JMON.-16254465.pf
30.01.2008 01:38 10.702 _INST2.EXE-2D28DB09.pf
30.01.2008 01:38 10.996 _INST1.EXE-0CA2B337.pf
30.01.2008 01:38 12.968 COUNTER-STRIKE.SOURCE.S@JMON.-03499660.pf
30.01.2008 01:17 86.308 FIREFOX.EXE-17EE503B.pf
30.01.2008 01:06 49.296 SETUP.EXE-2E034EE6.pf
30.01.2008 01:06 11.404 RUNONCE.EXE-2803F297.pf
30.01.2008 01:06 10.140 RUNDLL32.EXE-223D2417.pf
30.01.2008 01:06 5.902 ME_INST.EXE-0C7A847C.pf
30.01.2008 01:01 57.964 EVEREST.BIN-30530372.pf
30.01.2008 01:01 28.396 EVEREST.EXE-28636E4B.pf
30.01.2008 00:56 30.112 LOGONUI.EXE-0AF22957.pf
30.01.2008 00:55 22.900 NECND13_10B.EXE-26DA8D9A.pf
30.01.2008 00:53 5.576 7Z.EXE-18A1640A.pf
30.01.2008 00:53 24.178 RUNDLL32.EXE-2BFEB1CE.pf
30.01.2008 00:53 7.070 GDR-8163B0L23.EXE-29C2AD6E.pf
30.01.2008 00:52 80.150 ZIPGENIUS.EXE-39E5CEC6.pf
30.01.2008 00:41 12.404 RUNDLL32.EXE-3C8B3B3D.pf
30.01.2008 00:41 26.450 RUNDLL32.EXE-122FB2BA.pf
30.01.2008 00:40 28.680 RUNDLL32.EXE-3829F25F.pf
30.01.2008 00:34 45.296 SETUP.EXE-12C6BBA6.pf
30.01.2008 00:23 55.274 EXPLORER.EXE-082F38A9.pf
30.01.2008 00:20 7.846 UTT7.TMP.EXE-3775AC03.pf
29.01.2008 21:09 25.610 SET1.TMP-0F7F06B4.pf
29.01.2008 21:09 57.350 RUNDLL32.EXE-397535FF.pf
29.01.2008 21:08 44.870 FEARXP2.EXE-12446CB1.pf
29.01.2008 21:08 15.124 CONFIGXP2.EXE-1330A118.pf
29.01.2008 21:08 53.092 AUTORUN.EXE-2883FE1A.pf
29.01.2008 21:07 10.754 LAUNCHER.EXE-195D65B7.pf
29.01.2008 21:02 8.160 SD4HIDE.EXE-3405E8A6.pf
29.01.2008 20:35 40.926 DXSETUP.EXE-2887BC0C.pf
29.01.2008 20:35 5.640 DXDLLREG.EXE-0CC5071C.pf
29.01.2008 20:25 26.392 SET78.TMP-1705EDC3.pf
29.01.2008 20:25 12.466 SETUP.EXE-1FA97E78.pf
29.01.2008 20:25 48.198 AUTORUN.EXE-2F1890ED.pf
29.01.2008 20:22 73.090 ACRORD32INFO.EXE-19D979CC.pf
29.01.2008 20:17 45.900 WINWORD.EXE-259486DA.pf
29.01.2008 20:15 105.236 IEXPLORE.EXE-2CA9778D.pf
29.01.2008 20:12 63.704 DISKCLEANER.EXE-2A90711C.pf
29.01.2008 20:12 49.720 INTEGRATOR.EXE-3967D297.pf
29.01.2008 20:10 23.738 SET6E.TMP-2CBC4FDE.pf
29.01.2008 20:02 11.356 UNINSTALL.EXE-13875BC5.pf
29.01.2008 20:02 36.390 UNINSTALL.EXE-01037241.pf
29.01.2008 19:59 87.838 CLEANMGR.EXE-1F86EA8E.pf
29.01.2008 19:54 23.482 SET53.TMP-02A1CE84.pf
29.01.2008 19:53 16.356 DAEMON406-X86.EXE-04A604B5.pf
29.01.2008 19:53 123.238 ZG.EXE-1A1E2C3B.pf
29.01.2008 19:37 8.894 RUNDLL32.EXE-303685A3.pf
29.01.2008 19:29 9.006 RUNDLL32.EXE-1569712A.pf
29.01.2008 19:24 8.660 RUNDLL32.EXE-2409D0F7.pf
29.01.2008 19:23 12.532 UNINSTALL.EXE-1DFFD0EE.pf
29.01.2008 16:44 16.556 REGSVR32.EXE-25EEFE2F.pf
29.01.2008 01:53 8.728 UTT2D.TMP.EXE-2496D80B.pf
29.01.2008 01:44 22.258 IW3SP.EXE-2C0B6C66.pf
29.01.2008 01:40 11.014 ARMYKEYBINDINGS.EXE-2788E830.pf
29.01.2008 01:40 18.402 _IU14D2N.TMP-070365C3.pf
29.01.2008 01:40 17.330 UNINS000.EXE-3A8A0BD6.pf
28.01.2008 21:41 37.748 HH.EXE-2D1A70B3.pf
28.01.2008 21:41 16.258 IS-Q1VGS.TMP-32DC5EE8.pf
28.01.2008 21:41 10.014 EVERESTHOME220.EXE-0AB8C399.pf
28.01.2008 21:07 11.132 ARMYKE~1.EXE-066D1BE7.pf
28.01.2008 21:06 11.198 KEYBIND.EXE-25E02980.pf
28.01.2008 14:02 78.528 POWERPNT.EXE-019F2E3D.pf
28.01.2008 00:34 53.984 RUNDLL32.EXE-324630DA.pf
28.01.2008 00:07 69.728 MPLAYERC.EXE-27FBB82C.pf
28.01.2008 00:07 31.776 RUNDLL32.EXE-17B7C665.pf
27.01.2008 21:26 5.918 DXDLLREG.EXE-0D4FE7B7.pf
27.01.2008 21:26 13.602 DXSETUP.EXE-0BEAA2A0.pf
27.01.2008 21:17 32.800 IDRIVER.EXE-2E776D3F.pf
27.01.2008 21:17 13.784 IDRIVER.EXE-064B54B1.pf
27.01.2008 21:10 51.974 AA282FULLINSTALLER.EXE-3A068ADA.pf
27.01.2008 20:42 18.376 RUNDLL32.EXE-2ECFFCEE.pf
27.01.2008 20:41 55.368 OPERA.EXE-24550E7A.pf
27.01.2008 20:10 14.590 RUNDLL32.EXE-16DB88AB.pf
27.01.2008 17:57 28.754 ILLUSTRATOR1302-DE_DE.EXE-31CF8A6A.pf
27.01.2008 17:56 22.922 ID_RELEASE_501.EXE-0F11B94F.pf
27.01.2008 17:54 16.366 ADOBEUPDATER.EXE-370FC314.pf
25.01.2008 01:09 50.484 POWERDVD.EXE-35D9A3BA.pf
25.01.2008 01:09 12.424 AHUI.EXE-10CE5D84.pf
25.01.2008 01:06 92.960 SSMYPICS.SCR-01C62024.pf
25.01.2008 01:05 56.814 RUNDLL32.EXE-2576181F.pf
23.01.2008 15:23 21.882 RUNDLL32.EXE-33B4E29A.pf
25.12.2006 18:01 899.428 NTOSBOOT-B00DFAAD.pf

Verzeichnis von C:\WINDOWS

31.01.2008 15:48 0 0.log
31.01.2008 15:47 2.048 bootstat.dat
31.01.2008 13:52 806 wmsetup.log
31.01.2008 13:52 1.519 OEWABLog.txt
31.01.2008 13:50 776 WindowsUpdate.log
31.01.2008 13:35 126.820 ntbtlog.txt
30.01.2008 01:18 3.254 mozver.dat
30.01.2008 01:06 15.960 setupapi.log
30.01.2008 01:04 428 zipgenius.xml
30.01.2008 00:57 32.568 SchedLgU.Txt
29.01.2008 20:35 33.499 DirectX.log
16.01.2008 18:45 16 ncrgtrpath.conf
16.01.2008 03:44 1.409 QTFont.for
16.01.2008 03:44 54.156 QTFont.qfn
15.01.2008 21:11 245 TuneXP Setup Log.txt
13.12.2007 19:27 42.384 zllsputility_loc0407.dll
13.12.2007 19:27 75.248 zllsputility.exe

Verzeichnis von C:\WINDOWS\tasks

31.01.2008 15:47 6 SA.DAT
11.01.2008 17:17 420 1-Klick-Wartung.job
29.08.2002 13:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

31.01.2008 15:47 256 ZLT04742.TMP
31.01.2008 15:47 256 ZLT0473f.TMP
31.01.2008 15:43 256 ZLT043bd.TMP
31.01.2008 15:43 256 ZLT043ba.TMP
31.01.2008 13:50 256 ZLT06de7.TMP
31.01.2008 13:50 256 ZLT06de4.TMP
31.01.2008 13:26 256 ZLT05af2.TMP
31.01.2008 13:26 256 ZLT05aef.TMP
31.01.2008 13:24 256 ZLT05954.TMP
31.01.2008 13:24 256 ZLT05950.TMP
31.01.2008 13:17 256 ZLT01db3.TMP
31.01.2008 13:17 256 ZLT05492.TMP
31.01.2008 13:15 256 ZLT01f7f.TMP
31.01.2008 13:15 256 ZLT052f0.TMP
29.01.2008 20:48 256 ZLT010fd.TMP
29.01.2008 20:48 256 ZLT010f9.TMP
28.01.2008 13:33 16.384 ~DF1F8F.tmp
27.01.2008 16:22 256 ZLT029ae.TMP
27.01.2008 16:22 256 ZLT029a1.TMP
24.01.2008 14:43 256 ZLT0739a.TMP
25.10.2007 14:41 0 Upd1.tmp

Verzeichnis von C:\DOKUME~1\ALEXAN~1.ALE\LOKALE~1\Temp

31.01.2008 15:52 112.800 filelist.txt
31.01.2008 15:50 16.384 ~DF4CEC.tmp
31.01.2008 15:43 32.768 ~DF72F1.tmp
31.01.2008 15:25 32.768 ~DF8E4A.tmp
31.01.2008 13:54 466 MSI37dcc.LOG
31.01.2008 13:53 0 is3E.tmp
31.01.2008 13:52 98.304 ~DFDAFD.tmp

so dass müssten sie alle sein,

und was kann man da jetzt rauslesen?

myrtille · 31.01.2008, 16:12

Zitat:

und was kann man da jetzt rauslesen?

Alles!

Nein, eigentlich hätte das erste Log, also das von Vundofix gereicht um zu sehen was nicht stimmt. Leider ist ConHook nicht dasselbe wie Vundo (auhc wenn die beiden meist zusammen auftreten) und wird daher auch nicht wirklich von Vundofix entfernt.
Das 2. Log listet einfach sämtliche Dateien in verschiedenen (hier hauptsächlich System)ordnern, sodass ich nen Überblick bekomme wo sich bösartige Dateien tummeln.

Sehe ich das richtig, dass im system32-Ordner zwischen dem 30.12 und dem 16.01 keine Dateien angelegt wurden, oder hast du da Ausversehen etwas abgeschnitten?

lg myrtille

Copperhead · 31.01.2008, 16:29

Servus, zu deiner Frage

Zitat:

Sehe ich das richtig, dass im system32-Ordner zwischen dem 30.12 und dem 16.01 keine Dateien angelegt wurden, oder hast du da Ausversehen etwas abgeschnitten?

Da war ich im Urlaub und der Rechner dementsprechend aus, aber ich schau noch mal nach...

Zitat:

Verzeichnis von C:\WINDOWS\system32

31.01.2008 15:47 358.830 vsconfig.xml
31.01.2008 15:44 24.576 VundoFixSVC.exe
30.01.2008 21:50 107.832 PnkBstrB.exe
30.01.2008 01:05 4.212 zllictbl.dat
29.01.2008 20:39 242.994 svvwa.ini
29.01.2008 13:28 242.962 svvwa.bak1
28.01.2008 13:28 241.963 svvwa.bak2
27.01.2008 16:22 2.206 wpa.dbl
25.01.2008 01:07 5.120 Thumbs.db
16.01.2008 17:45 43.520 CmdLineExt03.dll
16.01.2008 01:19 37.888 tuvsqop.dll
13.12.2007 19:27 54.672 vsutil_loc0407.dll
13.12.2007 19:27 21.904 imsinstall_loc0407.dll
13.12.2007 19:27 17.808 imslsp_install_loc0407.dll
13.12.2007 19:27 394.952 vsdatant.sys
13.12.2007 19:27 1.086.952 zpeng24.dll
13.12.2007 19:26 46.568 vswmi.dll
13.12.2007 19:26 71.144 zlcommdb.dll
13.12.2007 19:26 83.432 zlcomm.dll
13.12.2007 19:26 472.552 vsutil.dll
13.12.2007 19:26 99.816 vsxml.dll
13.12.2007 19:26 71.144 vsregexp.dll
13.12.2007 19:26 275.944 vspubapi.dll
13.12.2007 19:26 103.912 vsmonapi.dll
13.12.2007 19:26 157.160 vsinit.dll
13.12.2007 19:26 83.432 vsdata.dll
13.12.2007 19:26 796.048 libeay32_0.9.6l.dll

also genau so siehts im file aus, ich hab nix ausgeschnitten

myrtille · 31.01.2008, 16:39

Ok.

Wollte nur sichergehen.

Nicht, dass wir jetzt die Dateien entfernen, die nachm 16. erstellt wurden und du weiterhin Probleme hast, weil irgendwo noch eine ältere Datei steckt.

Dann mache noch Folgendes, das sollte das ganze eigentlich endgültig regeln:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\Windows\system32\svvwa.ini
C:\Windows\system32\svvwa.bak1
C:\Windows\system32\svvwa.bak2
C:\Windows\system32\tuvsqop.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Hijackthislogfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

lg myrtille

Copperhead · 31.01.2008, 16:53

Ok, hat hoffentlich gefunzt, auch wenn die Firewall etwas rumzickt

Hier der Avenger-Report:

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\scujcibl

*******************

Script file located at: \??\C:\Program Files\mcynojlx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Windows\system32\svvwa.ini deleted successfully.
File C:\Windows\system32\svvwa.bak1 deleted successfully.
File C:\Windows\system32\svvwa.bak2 deleted successfully.
File C:\Windows\system32\tuvsqop.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier des log-file:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:49:06, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\***\Desktop\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50EF9C6D-4A64-4650-A20C-E9B062FA62F9} - C:\WINDOWS\system32\awvvs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {91262C60-DD10-46FA-A09B-AE14902ECA11} - C:\WINDOWS\system32\tuvsqop.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnkkjg - nnnkkjg.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programme\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Reicht diese Maßnahme jetzt oder sollte man trotzdem Windows neu installieren?
Und warum sieht mein Desktop immer so ganz neu aus, seit ich mal im abgesicherten Modus war?

myrtille · 31.01.2008, 17:12

Fragen über Fragen.

Also grad noch der Schönheit halber:
Hijackthis aufrufen, vor folgende Einträge einen Haken setzen und "Fix checked" anwählen:

Zitat:

O2 - BHO: (no name) - {50EF9C6D-4A64-4650-A20C-E9B062FA62F9} - C:\WINDOWS\system32\awvvs.dll (file missing)
O2 - BHO: (no name) - {91262C60-DD10-46FA-A09B-AE14902ECA11} - C:\WINDOWS\system32\tuvsqop.dll (file missing)
O20 - Winlogon Notify: nnnkkjg - nnnkkjg.dll (file missing)

Damit löschst du die letzten Registryeinträge der Infektion.
Danach deinstallierst du bitte über Start->Systemsteuerung->Software alle Javaversionen und installierst die http://www.trojaner-board.de/105213-java-update-einstellungen.html]aktuelle Version[/url].

Vundo verbreitet sich über Sicherheitslücken in alten Java-versionen, wahrscheinlich hast du dir den so auch eingefangen. Deswegen ist es wichtig ALLE Programme auf seinem Rechner aktuell zu halten und nicht nur die Windowsupdates einzuspielen.

So, dann kommen wir mal zu deinen Fragen:

Zitat:

Reicht diese Maßnahme jetzt oder sollte man trotzdem Windows neu installieren?

Vundo ist an und für sich Adware, das heißt ein unerwünschtes Programm, dass Werbung auf deinem Rechner erscheinen lässt. Es ermöglicht (soweit ich weiß) keinen Zugriff von außen auf deinen Rechner zu. Das heißt, es besteht/bestand eigentlich kein zusätzliches Sicherheitsrisiko für deinen Rechner.
Ein Programm (zb Vundo oder das Programm das den Zugriff auf deinen Rechner ermöglicht, nennen wir es mal A) lässt sich eigentlich immer entfernen, weil es nur ein Stück Code ist, wenn man es Nahe genug beobachtet kann man herausfinden was es tut und die Handlungen rückgängig machen.
Wenn jetzt allerdings ein Mensch/beliebiges Programm B auf deinen Rechner Zugriff hatte ist dies nicht mehr möglich: Ich kann das Programm A solange studieren wie ich will, ich werde dadurch nie erfahren was B (oder der Mensch) tut und selbst wenn ich A gut genug kenne um es zu entfernen, weiß ich nihct ob B nicht mittlerweile ein Programm C mit denselben Funktionen wie A installiert hat.
Aufgrund dieser Unsicherheit empfehlen wir bei Backdoorbefall ein Neuaufsetzen.

Zitat:

Und warum sieht mein Desktop immer so ganz neu aus, seit ich mal im abgesicherten Modus war?

Inwiefern ganz neu? Wann warst du im abgesicherten Modus?
Versteh nicht ganz was du meinst und bezweifele, dass ich da ne zufriedenstellende Antwort geben kann.

EDIT:
Inwiefern zickt die Firewall?

lg myrtille

Copperhead · 31.01.2008, 17:35

So, hab die ungültigen Registry-Einträge gelöscht und des neue Java drauf.

Zu den Fragen: Die Firewall zickt eigentlich nicht rum, aber sie fragt halt jedesmal, ob desunddes Programm Zugriff auf Registry/Internet/usw bekommt. Und wenn man sich mal nen Wurm gefangen hat, wird man doppelt vorsichtig und überlegt bei jeder dieser Fragen erstmal genauer.

Und die Sache mit dem Desktop hab ich ja ganz am anfang schon geschildert, siehe hier:

Zitat:

Dabei bin ich in diesem Forum auf einen Link zum Programm SPYWAREfighter gestoßen. Leider habe ich diesen nicht ignoriert, und einfach weiter gelesen, stattdessen habe ich das Programm downgeloadet und installiert.

Die Folge davon war, das mein Rechner sofort runtergefahren ist und versuchte zu rebooten. Allerdings erfolglos, denn sobald in der Taskleiste das Symbol (schwarzer Hut mit Augen) auftauchte, versuchte der Rechner neu zu starten.

Also habe ich den Rechner im abgesicherten Modus gestartet, um das Problem zu beheben. Über Systemsteuerung\Software konnte man das Programm zunächst nicht entferen, direkt aus dem Programmmenue auch nicht löschen.

Testweise versuchte ich daraufhin, das Programm auszuführen, dann allerdings versuchte es meherere Minuten mit einem Server zu kommunizieren, aber diesen Vorgang habe ich nach mehereren Minuten abgebrochen.

Daraufhin bin ich direkt in den Ordner C:\Programme gegangen, um dort manuell zu löschen. bis auf zwei dll-Datein ging auch alles zu entfernen, diese beiden habe ich dann umbenannt und den Rechner neu gestartet.

Als er wieder hochfuhr, sah Windows zunächst sehr "jungfräulich" aus (ist das normal, dass nach dem abgesicherten Modus einen Standardhintergrund hat und alle Verknüpfungen weg sind?). Ich konnte nun auch die beiden ehemaligen dll-Dateien löschen, da das Programm nicht in der Lage war, selbständig zu starten.

Also seit ich wieder zurück im normalen Windows bin, sieht es so schön neu aus, d.h. alle Verknüpfungen sind weg, auch die Schnellstartleiste und es ist der Standardhintergrund zu sehen.

myrtille · 31.01.2008, 17:59

Nein, normal ist das nicht. Allerdings weiß ich so direkt auch nicht, was da schiefgegangen ist.

Wenn dich das interessiert, kann ich mich da noch hinter klemmen, allerdings könnte das einige Tage dauern.

Kannst du denn jetzt neue Icons erstellen? Bzw einen anderen Hintergrund für den Desktop auswählen, oder ist das gesperrt?

lg myrtille

Copperhead · 31.01.2008, 18:10

Also ich kann schon den Hintergrund ändern und Icons erstellen, also mach dir darum keinen Kopp, des stell ich mir schon wieder alles richtig ein, sind eh nur Verknüpfungen auf andere Partitionen.

Und ein ganz großes DANKE für die superschnelle und kompetente Hilfe!!!
:aplaus::aplaus::aplaus:

MfG,

Copperhead

Ernsthafte Probleme bei der Bekämpfung von TR/Dldr.ConHook.Gen

Log-Analyse und Auswertung: Ernsthafte Probleme bei der Bekämpfung von TR/Dldr.ConHook.Gen