Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature currently requires accessing the site using the built-in Safari browser.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Diskutiere lovepollpure im Viren, Trojaner, Spyware etc. Forum im Bereich Sicherheits-Center; Ich fand -mehr durch Zufall- in diesem Pfad:
C:\ Dokumente und Einstellungen\ Administrator\ Anwendungsdaten\ lovepollpure\RDRDENTEGGS.exe
die...
#1
J
jüki
Bekanntes Mitglied
Themenersteller
Dabei seit
04.07.2004
Beiträge
1.242
Reaktionspunkte
0
Ort
Chemnitz
Ich fand -mehr durch Zufall- in diesem Pfad:
C:\ Dokumente und Einstellungen\ Administrator\ Anwendungsdaten\ lovepollpure\RDRDENTEGGS.exe
die fett markierte Datei. Da mir das unbekannt war und der Name love... bei mir alle Alarmklocken scheppern lies, schaute ich mal in der Registry nach und fand im Pfad:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
das da:
noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
in trauter Gemeinsamkeit mit dem Wert:
swg = C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
Avira AntiVir vermeldet nichts - hijackthis dagegen bemängelt es ohne Angabe von Gründen.
Im Internet fand ich nichts dergleichen - ist Euch da etwas bekannt ?
Ich habe ein sauberes Image, aber ich möchte gerne wissen, wo dieser Eintrag herkommt.
Denn wenn es denn ein Schadprogramm ist, möchte ich wissen, wie ich mir das reingezogen habe.
Danke!
Jürgen
#2
P
PCDpan_fee
Guest
gibt es Informationen in den Eigenschaften von RDRDENTEGGS.exe? ???
pan_fee
#3
J
jüki
Bekanntes Mitglied
Themenersteller
Dabei seit
04.07.2004
Beiträge
1.242
Reaktionspunkte
0
Ort
Chemnitz
Oh, @pan_fee - da war ich wieder zu voreilig? Den Schlüssel hab ich gleich gelöscht. War ein Fehler?
Jürgen
#4
E
Eddie
Bekanntes Mitglied
Dabei seit
04.02.2002
Beiträge
7.380
Reaktionspunkte
0
Nicht den Registryschlüssen, die Eigenschaften der EXE selber sind gemeint. Haste die auch schon gelöscht?
Eddie
#5
J
jüki
Bekanntes Mitglied
Themenersteller
Dabei seit
04.07.2004
Beiträge
1.242
Reaktionspunkte
0
Ort
Chemnitz
Ja - ich Schafskopp hab den kompletten Wert
noun readme = C:\DOKUME~1\ADMINI~1\ANWEND~1\lovepollpure\RDRDENTEGGS.exe
gelöscht.
Jürgen
Ähnlichkeiten = trust road way readme, Dead itch owns noun (deine Datei noun readme)
memo eggs.exe (deine Datei RDRDENTEGGS.exe) DENT LOGO.EXE (deine Datei RDRDENTEGGS.exe) RDR WAY.EXE (deine Datei RDRDENTEGGS.exe)
BASE LOVE.EXE, love sign.exe (deine Datei lovepollpure)
auch der Verzeichnispfad könnte passen!
pan_fee
#7
J
jüki
Bekanntes Mitglied
Themenersteller
Dabei seit
04.07.2004
Beiträge
1.242
Reaktionspunkte
0
Ort
Chemnitz
Das ist ja richtig spannend, wie Du das ermittelt hast, @pan_fee!
Sieht für mich überzeugend und logisch aus. Nach der (voreiligen) Löschung des Wertes in der Registry und des Ordners in Windows sollte die Gefahr eigentlich gebannt sein. Da ich mich aber konsequent an meine eigenen Empfehlungen halte: http://home.arcor.de/j120542/Computerhilfen/Image-Erstellung.pdf
- werde ich trotzdem das saubere Image zurückspielen.
Ich hab da auch schon einen gelinden Verdacht - ich hatte das Schleppi eines Bekannten über Netzwerk dran. Werd mir mal seine Dateien anschauen und den im Bedarfsfall runderneuern.
Sollte so etwas noch einmal auftreten - oben stand die Frage nach den Eigenschaften - worauf muß ich bei den Eigenschaften achten?
Vielen Dank noch einmal - und der jüki freut sich ein bischen, das bei ihm da ein Verdacht keimte.
Jürgen
#8
J
jüki
Bekanntes Mitglied
Themenersteller
Dabei seit
04.07.2004
Beiträge
1.242
Reaktionspunkte
0
Ort
Chemnitz
So - ich habe mein Image zurückgespielt.
Und das war sicher richtig - denn mit dem Löschen der Datei und des Registry- Wertes war es anscheinend nicht getan.
Ich hab mal nachgeschaut: Auch die Datei
C:\ WINDOWS\ system32\ drivers\ etc\ hosts
war irgendwie beeinflußt.
Ich hab da eine 24kb- Sammlung drinnen - plötzlich wurde diese als 32kb angezeigt und enthielt nur eine Zeile arabisch aussehender Zeichen - löschen und die Richtige einfügen brachte nichts. nach dem Neustart war wieder nur diese seltsam kryptisch aussehende Zeile zu sehen.
Schon seltsam.
Und es bestärkt mich (wieder mal) in meiner Ansicht, das alle Behauptungen, man könnte einen befallenen PC sauber bekommen, Unsinn sind.
Noch einmal Danke für eure Hilfe!
Jürgen
#9
P
PCDpan_fee
Guest
jüki schrieb:
Nach der (voreiligen) Löschung des Wertes in der Registry und des Ordners in Windows sollte die Gefahr eigentlich gebannt sein.
Schädlinge legen aber niemals nur eine Datei ab. :-X
mach einen intensiven Virenscan und schau dir deine HijackThis-Log-Dateien an.
Systemwiederherstellungspunkte löschen und einen neuen anlegen und lies dir mal diese Anleitung durch http://www.trojaner-board.de/28388-anleitung-zur-swizzor-entfernung.html
werde ich trotzdem das saubere Image zurückspielen.
Ich hab da auch schon einen gelinden Verdacht - ich hatte das Schleppi eines Bekannten über Netzwerk dran. Werd mir mal seine Dateien anschauen und den im Bedarfsfall runderneuern.
Abgespeichert, @pan_fee. Und nochmals: Danke!
Übrigens - das zwischen der IP und dem Link ein [Tab] kommt, das wußte ich nicht.
Hab da immer Leerzeichen gemacht.
Hat das eine Relevanz?
Jürgen