lovepollpure

Dieses Thema lovepollpure im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von jüki, 8. Feb. 2007.

Thema: lovepollpure Ich fand -mehr durch Zufall- in diesem Pfad: C:\ Dokumente und Einstellungen\ Administrator\ Anwendungsdaten\...

  1. Ich fand -mehr durch Zufall- in diesem Pfad:
    C:\ Dokumente und Einstellungen\ Administrator\ Anwendungsdaten\ lovepollpure\RDRDENTEGGS.exe
    die fett markierte Datei. Da mir das unbekannt war und der Name love... bei mir alle Alarmklocken scheppern lies, schaute ich mal in der Registry nach und fand im Pfad:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    das da:
    noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
    in trauter Gemeinsamkeit mit dem Wert:
    swg = C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    Avira AntiVir vermeldet nichts - hijackthis dagegen bemängelt es ohne Angabe von Gründen.
    Im Internet fand ich nichts dergleichen - ist Euch da etwas bekannt ?
    Ich habe ein sauberes Image, aber ich möchte gerne wissen, wo dieser Eintrag herkommt.
    Denn wenn es denn ein Schadprogramm ist, möchte ich wissen, wie ich mir das reingezogen habe.
    Danke!
    Jürgen
     
  2. gibt es Informationen in den Eigenschaften von RDRDENTEGGS.exe? ???

    pan_fee
     
  3. Oh, @pan_fee - da war ich wieder zu voreilig? Den Schlüssel hab ich gleich gelöscht. War ein Fehler?
    Jürgen
     
  4. Nicht den Registryschlüssen, die Eigenschaften der EXE selber sind gemeint. Haste die auch schon gelöscht?

    Eddie
     
  5. Ja - ich Schafskopp hab den kompletten Wert
    noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
    gelöscht.
    Jürgen
     
  6. es könnte sich um ...
    http://www.wintotal.de/Spyware/index.php?Filter=L#Spyware4522
    handeln,

    Ähnlichkeiten = trust road way readme, Dead itch owns noun (deine Datei noun readme)
    memo eggs.exe (deine Datei RDRDENTEGGS.exe)
    DENT LOGO.EXE (deine Datei RDRDENTEGGS.exe)
    RDR WAY.EXE (deine Datei RDRDENTEGGS.exe)
    BASE LOVE.EXE, love sign.exe (deine Datei lovepollpure)

    auch der Verzeichnispfad könnte passen!

    pan_fee
     
  7. Das ist ja richtig spannend, wie Du das ermittelt hast, @pan_fee!
    Sieht für mich überzeugend und logisch aus. Nach der (voreiligen) Löschung des Wertes in der Registry und des Ordners in Windows sollte die Gefahr eigentlich gebannt sein. Da ich mich aber konsequent an meine eigenen Empfehlungen halte:
    http://home.arcor.de/j120542/Computerhilfen/Image-Erstellung.pdf
    - werde ich trotzdem das saubere Image zurückspielen.
    Ich hab da auch schon einen gelinden Verdacht - ich hatte das Schleppi eines Bekannten über Netzwerk dran. Werd mir mal seine Dateien anschauen und den im Bedarfsfall runderneuern.
    Sollte so etwas noch einmal auftreten - oben stand die Frage nach den Eigenschaften - worauf muß ich bei den Eigenschaften achten?
    Vielen Dank noch einmal - und der jüki freut sich ein bischen, das bei ihm da ein Verdacht keimte.
    Jürgen
     
  8. So - ich habe mein Image zurückgespielt.
    Und das war sicher richtig - denn mit dem Löschen der Datei und des Registry- Wertes war es anscheinend nicht getan.
    Ich hab mal nachgeschaut: Auch die Datei
    C:\ WINDOWS\ system32\ drivers\ etc\ hosts
    war irgendwie beeinflußt.
    Ich hab da eine 24kb- Sammlung drinnen - plötzlich wurde diese als 32kb angezeigt und enthielt nur eine Zeile arabisch aussehender Zeichen - löschen und die Richtige einfügen brachte nichts. nach dem Neustart war wieder nur diese seltsam kryptisch aussehende Zeile zu sehen.
    Schon seltsam.
    Und es bestärkt mich (wieder mal) in meiner Ansicht, das alle Behauptungen, man könnte einen befallenen PC sauber bekommen, Unsinn sind.
    Noch einmal Danke für eure Hilfe!
    Jürgen
     
  9. Schädlinge legen aber niemals nur eine Datei ab. :-X
    mach einen intensiven Virenscan und schau dir deine HijackThis-Log-Dateien an.
    Systemwiederherstellungspunkte löschen und einen neuen anlegen und lies dir mal diese Anleitung durch http://www.trojaner-board.de/28388-anleitung-zur-swizzor-entfernung.html

    sehr gut

    tu das

    unter Allgemein die Beschreibung ansehen und unter Version Copyright. Auch unter Versionsinformationen die Elementnamen durchklicken.

    Leider zeigen einige Schädlinge keine Informationen an.

    pan_fee
     
  10. WinTotal Tipparchiv:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=646

    pan_fee