NirMeleth - Das Eckenforum

Boah, ich bekomm gleich nen Anfall!

Irgendwie hab ich mir von einem Neustart zum anderen was eingefangen.
Ironischerweise wollte ich da ne Firewall installieren und noch passender
spielt sich der Trojaner als "Spy Sheriff" auf.
Ich kann ihn sowohl mit Spybot Search&Destroy, AntiVir und Ad-Aware finde, aber leider nicht löschen. Auch nicht nach dem von S&D geforderten Neustart.
Auch eine Systemwiederherstellung hat nichts gebracht.

Per Hand kann ich nen Ordner vom Sheriff in den Programm Files finden und löschen, zudem machen sich unter C:/ immer wieder Anwendungen bemerkbar, die dann von AntiVir geblockt werden. Der Pfad, den S&D Anzeigt führt wieder mal zu irgendwelchen HOTKEYS, aber ich weiß nimmer, wo die zu finden waren...

Sonst macht sich das Ding durch ständige Warnungsmeldung bemerkbar und piept auch noch selbst, das System wäre infiziert. Dann erweckt es den Eindruck eines Virenschutzprogrammes in Testversion für das man sich ne Linzenz kaufen müßte.

Für Tipps und Tricks wär ich wie immer sehr dankbar, vielleicht sollte ich einfach noch weiter als drei Tage zurück neu erstellen?
Klasse fänd ich auch ne Freeware Firewall, der Tipp von Mia, Kerio, ist leider nicht mit der Alice Zugangssoftware kompatibel.

Systemwiederherstellung 10 Tage zurück hat nix genutzt.

Was Alice betrifft, da bräuchte ich wohl mehr Daten als nur meine Telefonnummer, um da ne normale Verbindung einzurichten? Über die Software brauch ich eben nur die und mehr hab ich bisher noch nicht... soweit ich meine Mails richtig gelesen habe.

Im Autostart ist das komische Dings nicht drin.
Wie und wo finde ich denn die Registry?
Ich bräuchte da bitte ne genauere Erklärung.

Noch ein Detail zu dem Dings, es macht sich erst bemerkbar, wenn ich Online gehe.

So sieht das im Arbeitsplatz aus und wer hätte es gedacht? auf "uninstall" reagiert das Ding natürlich nicht.

Hmhum...
Ich hab nun mal über das Ding gegooglet und offenbar grasiert das zur Zeit ganz arg. Gängige Probleme (dich ich auch nebenbei hatte, aber nicht so drauf geachtet hatte) sind auch Desktophintergrund oder Taksleiste.
Die gängigen Anti-Tools funzen wohl noch nicht so recht dagegen und so hab ich nen recht ausführlichen Guide zum Beheben gefunden.
Allerdings frag ich mich, wie ich den lesen können soll, wenn ich im Abgesicherten Modus oder so bin... da muss ich wohl Papier klauen und alles drucken.
Na mal sehen, was ich morgen da evtl. machen kann.

Hier noch der Guide, falls sonst noch jemand Probleme bekommen sollte:
http://www.wintotal-forum.de/index.php/topic,84123.0.html

Internet funktioniert nun ohne die Alice Software.

Jedoch ist das nächste Problem auch schon aufgetaucht und so mußte ich die eben installierte Kerio Firewall gleich mal wieder deinstallieren;
Sie hat mir beim Start irgendwas abblocken wollen, das aber so wichtig wäre, dass der Computer "um ihn von Schaden zu bewahren" ganz sonderbar runtergefahren wurde zusammen mit der Empfehlung, in den abgesicherten Modus zu wechseln.
Jetzt ohne Firewall gehts problemlos.

Was mir noch blöde in den Sinn kommt, ich hab nix runtergeladen, außer der Kerio Software - und seitdem habe ich den doofen Sheriff.

Ich bin den Guide nun zweimal im abgesicherten Modus durchgegangen, habe dort mehrmals alles gelöscht (Registry geprüft, Ordner und Verzeichnisse von Hand und per Explorersuche durchsucht) und immer mal wieder mit Search&Destroy gecheckt.

Die letzte Meldung war:
HKEY_USERS\DEFAULT\SOFTWARE\Microsoft\Windows\Current Version\Run\Windows installer

Das hab ich dann in der Registry gesucht und den Eintrag gefunden:
CTFMON.EXE REG_SZ C:\WINDOWS\System32\CTFMON.EXE

Da dies nicht im Guide auftaucht, konnte ich nicht vergleichen und korrigieren, die Datei EXE ist auch nicht neu, sondern zuletzt geändert im Jahre 2002.

Eben hab ich dann den Rechner wieder neu im normalen Modus gestartet, Explorersuche und Search&Destroy hat nichts mehr gefunden.
Dann Internetverbindung angemacht und <plopp> hatte ich wieder vier Meldungen offen.

Diesmal meldet sich ein Trojaner (ich glaube, sind wohl verschiedene Namen einer Variante, denn AntiVir findet da nur Ähnliche mit dem Anfangskürzel):
TR/Dldr.Harnig.BP.3
TR/PSW.PdPi.CT.1.D
...

Ich habe ***** keine Ahnung.
Und werde außerdem eben wieder mit den Trojanermeldungen bombardiert.
Wenn ich mir da C:\ wieder angucke, sind die ganzen vormals gelöschten Dateien wieder da.
Somit ist der Guide für mich wohl fürn Arsch, weils einfach alles wieder kommt.

Firewall kostet auch nur Nerven..
Eben hab ich ZoneAlarm versucht, die bombt dann auch mit tausend Meldungen und machen kann man dann garnix mehr. Trillian ging nimmer (trotz fünfmal "Zulassen) und hier im Forum konnte ich nur noch schwarz auf weiß Salat lesen (trotz fünfmal "Zulassen").

Würde mal jemand auf die Idee kommen, diesen ganzen Kack wirklich anwenderfreundlich zu gestalten, wären auf einen Schlag Millionen Menschen arbeitslos...

Da alle weiteren Tipps zum Thema lauten: neu aufsetzen - ole ole-,
werd ich das wohl morgen mal in Angriff nehmen.
Wunderbar, ich wollte schon immer mal mein ganzen Dateien sichern, auf die zweite Festplatte verschieben und mir dann überlegen, wo ich meine Programme wieder herbekomme...

Und was genau ist das?
Wenn ich danach google, finde ich ein Forum...
Um nen Link wär ich dankbar, da sich bei mir der Virus/Trojaner nun arg bemerkbar macht und ich jede Seite über fünfmal updaten muss, um sie ganz lesen zu können...

Die SB hilft mir leider momentan nicht mehr wirklich, da ich sie nur alle paar Stunden mal normal lesen kann.

Von gestern Abend auf heute hab ich den Guide zweimal im abgesicherten Modus durchgemacht und nach per Handsuche und allen drei Virensuchern war eigentlich alles sauber; bis auf fünf EXE Dateien im Verzeichnis C:\ mit 0KB die sich nicht löschen liesen, obwohl sie wieder schreibgeschützt noch im Taskmanager in Betrieb waren.

Eben wieder im normalen Modus gestartet, alles sauber, dann online gegangen und schon waren die Meldungen wieder da.

Trojaner TR/Dldr.Harning.BP.3 gefunden in Dateien wie C:\jaskd.exe oder C:\muvmyv.exe. Und ich bin mir sicher, die waren vorher nicht da, jedoch ähneln sie den alten, die gestern immer die Meldungen augelöst hatten.
Nun ist auch wieder die im Guide erwähnte C:\Program Files\secure32.html zu finden, die zuvor gelöscht war.
Ich bin mir sicher, würde ich nun in der Registry suchen, wäre dieser verfluchte Spy Sheriff wieder drin.

Ich werd mir nun mal euren Bilder runterladen, auch wenn ich nicht im Geringsten verstehe, wozu der ist oder was ich damit tun soll.
Hoffentlich erklärt sich das irgendwie mit den Additional Languages.

Ach, habe ich schon erwähnt, dass sich das Neuaufsetzen eh schwierig gestaltet ohne ne offizielle XP Version? Ole ole, super Freunschaftshändler.

Der Builder hat sich eben zweimal bei der Installation aufgehangen, ich versuchs nun mal offline