lovepollpure

Ich fand -mehr durch Zufall- in diesem Pfad:
C:\ Dokumente und Einstellungen\ Administrator\ Anwendungsdaten\ lovepollpure\RDRDENTEGGS.exe
die fett markierte Datei. Da mir das unbekannt war und der Name love... bei mir alle Alarmklocken scheppern lies, schaute ich mal in der Registry nach und fand im Pfad:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
das da:
noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
in trauter Gemeinsamkeit mit dem Wert:
swg = C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
Avira AntiVir vermeldet nichts - hijackthis dagegen bemängelt es ohne Angabe von Gründen.
Im Internet fand ich nichts dergleichen - ist Euch da etwas bekannt ?
Ich habe ein sauberes Image, aber ich möchte gerne wissen, wo dieser Eintrag herkommt.
Denn wenn es denn ein Schadprogramm ist, möchte ich wissen, wie ich mir das reingezogen habe.
Danke!
Jürgen

gibt es Informationen in den Eigenschaften von RDRDENTEGGS.exe? ???

pan_fee

Oh, @pan_fee - da war ich wieder zu voreilig? Den Schlüssel hab ich gleich gelöscht. War ein Fehler?
Jürgen

Nicht den Registryschlüssen, die Eigenschaften der EXE selber sind gemeint. Haste die auch schon gelöscht?

Eddie

Ja - ich Schafskopp hab den kompletten Wert
noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
gelöscht.
Jürgen

jüki schrieb:

C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe

Zum Vergrößern anklicken....

es könnte sich um ...
http://www.wintotal.de/Spyware/index.php?Filter=L#Spyware4522
handeln,

Ähnlichkeiten = trust road way readme, Dead itch owns noun (deine Datei noun readme)
memo eggs.exe (deine Datei RDRDENTEGGS.exe)
DENT LOGO.EXE (deine Datei RDRDENTEGGS.exe)
RDR WAY.EXE (deine Datei RDRDENTEGGS.exe)
BASE LOVE.EXE, love sign.exe (deine Datei lovepollpure)

auch der Verzeichnispfad könnte passen!

pan_fee

Das ist ja richtig spannend, wie Du das ermittelt hast, @pan_fee!
Sieht für mich überzeugend und logisch aus. Nach der (voreiligen) Löschung des Wertes in der Registry und des Ordners in Windows sollte die Gefahr eigentlich gebannt sein. Da ich mich aber konsequent an meine eigenen Empfehlungen halte:
http://home.arcor.de/j120542/Computerhilfen/Image-Erstellung.pdf
- werde ich trotzdem das saubere Image zurückspielen.
Ich hab da auch schon einen gelinden Verdacht - ich hatte das Schleppi eines Bekannten über Netzwerk dran. Werd mir mal seine Dateien anschauen und den im Bedarfsfall runderneuern.
Sollte so etwas noch einmal auftreten - oben stand die Frage nach den Eigenschaften - worauf muß ich bei den Eigenschaften achten?
Vielen Dank noch einmal - und der jüki freut sich ein bischen, das bei ihm da ein Verdacht keimte.
Jürgen

So - ich habe mein Image zurückgespielt.
Und das war sicher richtig - denn mit dem Löschen der Datei und des Registry- Wertes war es anscheinend nicht getan.
Ich hab mal nachgeschaut: Auch die Datei
C:\ WINDOWS\ system32\ drivers\ etc\ hosts
war irgendwie beeinflußt.
Ich hab da eine 24kb- Sammlung drinnen - plötzlich wurde diese als 32kb angezeigt und enthielt nur eine Zeile arabisch aussehender Zeichen - löschen und die Richtige einfügen brachte nichts. nach dem Neustart war wieder nur diese seltsam kryptisch aussehende Zeile zu sehen.
Schon seltsam.
Und es bestärkt mich (wieder mal) in meiner Ansicht, das alle Behauptungen, man könnte einen befallenen PC sauber bekommen, Unsinn sind.
Noch einmal Danke für eure Hilfe!
Jürgen

jüki schrieb:

Nach der (voreiligen) Löschung des Wertes in der Registry und des Ordners in Windows sollte die Gefahr eigentlich gebannt sein.

Zum Vergrößern anklicken....

Schädlinge legen aber niemals nur eine Datei ab. :-X
mach einen intensiven Virenscan und schau dir deine HijackThis-Log-Dateien an.
Systemwiederherstellungspunkte löschen und einen neuen anlegen und lies dir mal diese Anleitung durch http://www.trojaner-board.de/28388-anleitung-zur-swizzor-entfernung.html

werde ich trotzdem das saubere Image zurückspielen.

Zum Vergrößern anklicken....

sehr gut

Ich hab da auch schon einen gelinden Verdacht - ich hatte das Schleppi eines Bekannten über Netzwerk dran. Werd mir mal seine Dateien anschauen und den im Bedarfsfall runderneuern.

Zum Vergrößern anklicken....

tu das

oben stand die Frage nach den Eigenschaften - worauf muß ich bei den Eigenschaften achten?

Zum Vergrößern anklicken....

unter Allgemein die Beschreibung ansehen und unter Version Copyright. Auch unter Versionsinformationen die Elementnamen durchklicken.

Leider zeigen einige Schädlinge keine Informationen an.

pan_fee

jüki schrieb:

Ich hab mal nachgeschaut: Auch die Datei
C:\ WINDOWS\ system32\ drivers\ etc\ hosts
war irgendwie beeinflußt.

Zum Vergrößern anklicken....

WinTotal Tipparchiv:
http://www.wintotal.de/Tipps/Eintrag.php?TID=646

pan_fee

Abgespeichert, @pan_fee. Und nochmals: Danke!
Übrigens - das zwischen der IP und dem Link ein [Tab] kommt, das wußte ich nicht.
Hab da immer Leerzeichen gemacht.
Hat das eine Relevanz?
Jürgen

jüki schrieb:

Hat das eine Relevanz?

Zum Vergrößern anklicken....

nein, ich nehme auch die Space-Taste.

pan_fee