Guten Morgen,

wie gesagt mit einem Image wäre es ja nicht getan! ISt das mit dem Avenger die einzige Möglichkeit wenn überhaupt den Virus zu beseitigen?

Gruß

Deswegen sprach ich ja von einem Grundimage. Das auf die Rechner verteilen und evtl. Anpassungen vornehmen.

Nö, hat keiner gesagt. Aber mit dem Avenger kann man ganz gut (gesperrte) schädliche Objekte löschen. Wenn Du das nicht willst, kannst Du mit einer aktuellen Rescue-CD Dein Glück versuchen. Eine Garantie auf Schädlingsfreiheit oder gar Vertrauenswürdigkeit ist das alles aber nicht, dazu ist format c: notwendig.

Ok werd ich versuchen und bei Windows 2003 Server?

Ok wenn also nicht Avenger dann Rescue und sonst?
Was ist hier das Problem wenn bei jedem Neustart der Dienstname ein anderer ist (Registry) aber die .dll die gleiche?
Die .dll lässt sich mit dem Avenger nicht löschen! Was hat das mit der svchost.exe zu tun?

Log
Gruß

Seit wann bist Du Admin? Man sollte schon in etwa wissen was die svchost.exe macht...
Besorg Dir ne Live-CD von einer Linux-Distro (Desktop-Install zB von Ubuntu oder PartedMagic), boote den befallenen PC und lösch die Datei C:\WINDOWS\system32\dlzlnti.dll - der Pfad sollte unter Linux /media/[name der c-partition]/WINDOWS/system32/dlzlnti.dll heißen, da Linux keine Laufwerksbuchstaben kennt.

Vielleicht falsch ausgedrückt was die svchost.exe macht ist klar aber wird die .dll über diesen Dienst mitgestartet und warum ist das so! Du bist doch hier der Virenexperte oder etwa nicht :sword2:


vorheriger Beitrag:
Gruß

Ich versuchs nochmal mit OTLPE wenn das nix bringt mache ich mich ans Image :-)

Hilft es denn sich zukünftig sowas nicht mehr einzufangen wenn der Rechner Update und Virensignatur technisch aktuell ist oder müssen sonstige Vorkehrungen getroffen werden?

Gruß

Backups? Eingeschränkte Rechte? Um nur zwei Dinge zu nennen...

Mhh das mit OTLPE klappt nicht der PC bootet zwar kann aber die OTLPE Applikation nicht auswählen!

- keine WIN32 Anwendung :confused:

Gruß

Dann wirds schwierig bis unmöglich.
Du kasperst da jetzt schon 2 Wochen herum, in der Zeit hätte man doch schon locker eine Kiste neu aufgesetzt und das "Grundimage" erstellen können! :rolleyes:

Einen Versuch wage ich noch :)

Ich habe noch eine Datei gefunden und die mal bei Virustotal ausgewertet:

Datei dlz empfangen 2010.05.04 08:01:01 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.04 -
AhnLab-V3 2010.05.04.00 2010.05.04 -
AntiVir 8.2.1.224 2010.05.03 TR/Drop.Softomat.AN
Antiy-AVL 2.0.3.7 2010.04.30 -
Authentium 5.2.0.5 2010.05.04 -
Avast 4.8.1351.0 2010.05.04 -
Avast5 5.0.332.0 2010.05.04 -
AVG 9.0.0.787 2010.05.03 -
BitDefender 7.2 2010.05.04 -
CAT-QuickHeal 10.00 2010.05.03 -
ClamAV 0.96.0.3-git 2010.05.04 -
Comodo 4758 2010.05.04 -
DrWeb 5.0.2.03300 2010.05.04 -
eSafe 7.0.17.0 2010.05.03 -
eTrust-Vet 35.2.7467 2010.05.04 Win32/Conficker
F-Prot 4.5.1.85 2010.05.03 -
F-Secure 9.0.15370.0 2010.05.04 Worm:W32/Downadup.EX
Fortinet 4.0.14.0 2010.05.03 -
GData 21 2010.05.04 -
Ikarus T3.1.1.80.0 2010.05.04 -
Jiangmin 13.0.900 2010.05.04 -
Kaspersky 7.0.0.125 2010.05.04 -
McAfee 5.400.0.1158 2010.05.04 -
McAfee-GW-Edition 6.8.5 2010.05.04 Trojan.Drop.Softomat.AN
Microsoft 1.5703 2010.05.04 -
NOD32 5083 2010.05.03 -
Norman 6.04.12 2010.05.03 -
nProtect 2010-05-04.01 2010.05.04 -
Panda 10.0.2.7 2010.05.03 -
PCTools 7.0.3.5 2010.05.04 -
Prevx 3.0 2010.05.04 -
Rising 22.46.01.01 2010.05.04 -
Sophos 4.53.0 2010.05.04 Mal/Conficker-A
Sunbelt 6258 2010.05.04 -
Symantec 20091.2.0.41 2010.05.04 -
TheHacker 6.5.2.0.275 2010.05.03 W32/Kido.gj
TrendMicro 9.120.0.1004 2010.05.04 -
VBA32 3.12.12.4 2010.05.03 -
ViRobot 2010.5.3.2301 2010.05.04 -
VirusBuster 5.0.27.0 2010.05.03 -

weitere Informationen
File size: 159140 bytes
MD5   : 7642c4fa5f55269b3d1664e303cef72b
SHA1  : 674511b36e55faafad8732ec62284a050e184fd7
SHA256: 1a2a971621ad653aea59ac341a520af6792790cf54394d16036055a46e4c7e03
TrID&nbsp;&nbsp;: File type identification<BR>VXD Driver (81.5%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (18.4%)
ssdeep: 3072:ktORhCkTeLvh+9j2oE2oG8maiOihpZ+MvyZXOgwWzrr6c:AORhCkf6qzaiOEpzvKwTc
sigcheck: publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<BR>-


Gruß

Ich hätte das Herumdoktorn sein lassen. Eine Kiste kann man ja noch so gerade bereinigen aber bei 15 hört der Spaß auf, v.a. weil es keinen allgemeingültigen Weg gibt, der für alle Rechner gleich ist.

Alles wird gut möchte wenigstens meinen PC ohne Neuinstallation bereinigt bekommen!
Was sagt also Virustotal und was kann ich tun?
Oder verweigerst du mir jetzt deine Hilfe? :heulen:

Gruß

Was Virustotal sagt steht da doch. Aber Du hast nichtmal geschrieben welche Datei (kompletter Pfad) Du da ausgewertet hast. Ward as diese => C:\WINDOWS\system32\dlzlnti.dll ?

Das war die dlzlnti.ar die jetzt in system32 gefunden wurde! Die .dll ist weg!

P.S. Gibt es den Avenger auch für Windows 2003

Gruß

Anscheinend nicht: The Avenger is fully compatible with 32-bit Windows Vista, XP, and 2000. Please do not attempt to use it on any other operating system.

Aber Du kannst mit Live-CDs arbeiten (zB Linux oder das OTLPE) und darüber Dateien verschieben, umbenennen oder so.