Ungebetene Gäste auf meinem PC

[sin tsu]

Mein pw für Sophos lief vorletzten Monat aus und dadurch hatte ich keine aktuellen Virensiganturen.

Heute schau ich mir online ein paar Clips an und bei einem heißt es, dass meine Codecs für diese .wmf zu alt wären. Gut, hatte die letzte Version vor wasweißichwann gezogen. Kann also gut sein, dachte ich. Böser Fehler!

Als ich die Anwendung starten will, entpackt sich keine neuen Codecs, sondern startet eine Trial-Version von VirusBoost 6.1 (oder VirusBust, VirusBlast?).

Nun gut alles halb so schlimm, denke ich. Kannst ja mal testen. Der findet dann auch gleich 20 Würmer, als ich auf "clean" gehe, soll ich mich mit meiner Email und dem Code für die Premium-Version registrieren. Hab ich nicht, will ich nicht und ohne Registrierung macht das Prog außer Viren suchen nichts.

Gut, ich entferne den Müll, klappt auch ganz gut, nur bleibt an der Taskleiste rechts unten so zwei blinkende nervende Objekte davon übrig, die ständig mich davon zu überzeugen versuchen, ich solle doch meinen PC, der totalst verseucht ist, bitte mit VirusBoost oder so schützen.

Hmm, ab AntiVir gezogen und gleich mal ne Stunde laufen lassen, er hat auch 2-3 kleine Sachen gefunden, aber nichts Tragisches. Nur diese dämlichen Hinweis-Warn-Blink-Mitteilungen sind noch da.

Außerdem hat sich meine Startseite beim IE verändert, egal welche Einstellung in der Systemsteuerung gewählt wurde. Nicht dass ich den IE benutze (Firefox), aber ich kann es nicht ab, wenn ein Programm Sachen verändert, die ich nicht will und ich´s nicht ändern kann.

www.thesypguard.com; www.virusburst.com; usw....


Wer kann helfen?

EDIT: alle x Minuten poppt irgendso ein Fenster auf, mit blabla, ich solle doch VirusBlast, GoldenVirus, oder so runterladen um PC zu schützen.

[sin tsu]

Hab beide drüberlaufen lassen, haben auch was gefunden: "verfolgender Cookie". Startseite IE wieder ok, nur dieses kleine blinkende Icon auf der Taskleiste bleibt da. Ist so ne Art Link zu www.virusblast.com. Kann ihn nicht löschen.

Was tun?

[sin tsu]

Puh, Glück gehabt. Komme gestern abend vom Arbeiten heim, fahre meinen Rechner hoch und danach geht nix mehr. AntiVir hat nen Trojaner gefunden, der ne .dll-datei in \WINNT\system32\ befallen hatte.

Ich konnte kein prog mehr zum laufen bringen, keine net-verbindung, nicht mal runterfahren ging.

Hab dann mit Hilfe der Win-CD das Rep-Prog laufen lassen und beim dritten mal ging dann alles wieder. Habe zwar alle wichrtigen Daten gesichert, aber dennoch ists ärgerlich und aufwendig alles wieder zu installieren, zu konfigurieren, die vielen kleinen Proggis wieder draufzuspielen, usw...

[sin tsu]

Hmm, also der Trojaner ist wieder da: TR/Dldr.Agent.axa

Mal ne dämliche Frage, verschiebt AntiVir die betroffene Datei oder nur den Trojaner in Quarantäne bzw. wird nur TR oder die System-Datei gelöscht.

Die befallene Datei ist die gleiche: duxzj.dll - Programmbibliothek, keine Ahnung was dies bedeutet.

[spalter]

Trojaner wirste i. d. R. verflucht schwer los. Gib den Namen von dem Viech mal in Google ein, da kriegste Anleitungen, wie Du ihn loswirst. Der gräbt sich meist tiefer ins System, als AntiVir den bekämpfen kann.

[sin tsu]

C:\WINNT\system32\duxzj.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.axa
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!

Das ist der Report-Auszug.

Google findet nur das Update von AntiVir vom 15.09.

[sin tsu]

Hmm, irgendwie blick ich da nicht durch, v.a. in der registry. Etwa ab hier:

bearbeiten - suchen - eowygj.dll + duxzj.dll + gtpbx.dll + wuwbxp.dll + oqabf.dll + syycum.dll
EDIT: hier finde ich die meisten gar nicht


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
gibt´s bei mir nicht
loeschen
das oben oder unten?
gorgonian - {e944d14a-03aa-43e3-9d0e-4f50c4d1b005}- C:\WINDOWS\system32\eowygj.dll
imputable - {6570b782-1a41-4053-b2c9-12c7fcf0d84d}- C:\WINDOWS\system32\duxzj.dll
died - {7fa55359-7223-410f-bc82-efb3e3ded07f}- C:\WINDOWS\system32\gtpbx.dll
campy - {168cf174-6dab-461c-a761-a7adfa5a5719}- C:\WINDOWS\system32\wuwbxp.dll
considerateness"="{4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll
hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
"astrogeology"="{2be26361-58a2-4836-be57-b838f02fec3f}" - - C:\WINDOWS\system32\qxfgcg.dll
???

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

loeschen

{e944d14a-03aa-43e3-9d0e-4f50c4d1b005}
{6570b782-1a41-4053-b2c9-12c7fcf0d84d}
{7fa55359-7223-410f-bc82-efb3e3ded07f}
{168cf174-6dab-461c-a761-a7adfa5a5719}
{4d993022-0899-4599-b4b6-0f887d0802e6}
{6076d2b1-634c-4685-843b-f826045ea5dc}


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e944d14a-03aa-43e3-9d0e-4f50c4d1b005}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6570b782-1a41-4053-b2c9-12c7fcf0d84d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{168cf174-6dab-461c-a761-a7adfa5a5719}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4d993022-0899-4599-b4b6-0f887d0802e6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2be26361-58a2-4836-be57-b838f02fec3f}

Bin völlig überfordert.

[spalter]

Das ist es, was ich meinte mit:

Trojaner wirste i. d. R. verflucht schwer los.[...]Der gräbt sich meist tiefer ins System, als AntiVir den bekämpfen kann.

[sin tsu]

Den VirusBurst hab ich nun mit ediwo wegbekommen. Das prog hat hat den Trojaner in die Quarantäne geschickt.

Dazu nochmals meine Frage: Wenn ein Virenprogramm o.ä. z.B. Trojaner oder Einträge in der registry erkannt haebn und ich sie in die Quarantäne verbannt habe. Kann ich die da lassen? Sollen die alle gelöscht werden. Bleibt die befallene Datei davon unberührt oder lösche ich z.B. meine systemdatei gleich mit und mein Rechner ist wieder völlig ausser Gefecht?