[XxGabbah@dxX]

Und wieder einmal hab ich es geschafft mir ein falsches Plugin zu installieren. Die Folge daraus war, im Taskmanager blinkte ständig ein Symbol auf, das mir mittezuteilen versuchte, das mein Rechner von einem Virus befallen ist. Ein gelbes Dreick mit einem gchwarzen Ausrufezeichen. In unregelmäßigen Abständen gingen dann plötzlich die merkwürdigsten Popup Fenster auf, in welchen mir mitgeteilt wurde, das ich angeblich diesen oder jenen Virus/Trojaner auf meinem Rechner habe. Das Symbol in der Taskleiste wollte mich dann immer auf eine Internetseite weiterleiten, wo man sich kostenpflichtig registrieren muss, damit man den Virus entfernen kann.

Das ganze kommt einem natürlich wie geziehlte Erpressung vor. Ein Anbieter schleusst einen "angeblichen" Virus ein und schlägt dann vor den Virus mit der hauseigenen Software zu entfernen.

Nach dem ich Hijackthis benutzt hatte, die von Hijackthis empfohlenen Einträge gelöscht und den Ordner des Plugins gelöscht habe, habe ich den Rechner neu gestartet. Dies tat ich in der Absicht, das ganze nochmals im Abgesicherten Modus auszuführen. Aber schon im Abgesicherten Modus wurde mir in der Taskleiste ein Warnhinweis gezeigt, der darauf hindeutete das mein Rechner von irgendetwas befallen ist.

Im selben Moment erscheint eine Fehlermeldung, das der Windows-Explorer nicht mehr funktioniert und er neu gestartet werden muss. Nach dem der Explorer neu gestartet wurde, funktioniert er max. 2 sec. bis die selbe Fehlermeldung erneut erscheint. Das bedeutet, es ist mir nicht mehr möglich gewesen, den Rechner in irgendeiner Weise zu benutzen. Über ein paar Tricks ist es mir dann doch gelungen Hijackthis auszuführen und die besagten Dateien aus den Programm Ordner zu löschen.

Allerdings hat dies alles nichts gebracht, der Fehler bleibt bestehen, selbst wenn ich den Rechner ganz normal hochfahre. Aucht jetzt wo ich diese Zeilen schreibe muss ich die Explorer.Exe über den Taskmanager deaktivieren, damit der Explorer nicht ständig neu gestartet wird und ich wenigstens versuchen kann, über das Internet eine Lösung zu finden.

Da ich diesen Fehler schon einmal vor ein paar Monaten hatte und auch damals für das Problem hier nach Rat gesucht hatte, gehe ich mal davon aus, das die ersten Antworten darauf hinauslaufen werden, das ich mein System neu installieren muss. Trotzdem hoffe ich, das dieses Problem mittlerweile etwas bekannter ist und es in der Zwischenzeit vielleicht eine Lösung dafür gibt.

EDIT: Es handelt sich um diesen Virus.
http://www.avira.com/de/threats/section/fu....zlob.jx.2.html

Dieser Beitrag wurde von XxGabbah@dxX bearbeitet: 14. Januar 2007 - 07:10

[XxGabbah@dxX]

Es wird doch wohl noch eine andere Möglichkeit geben. Zumal der genaue Grund für diese Fehlfunktion nicht bekannt ist.

[AlexFFM]

Das gleiche Problem mit dem Zlob hatte ich am Freitag. Habe es geschafft mittels des Internet-Explorers (der funktionierte weiter problemlos) auf Laufwerk C: zuzugreifen. Der Spuk mit dem ständigen Restart des Explorers konnte mit löschen einer frisch installierten .dll unter C:\Windows\System32 beendet werden. Den Name der .dll ist mir aber nicht mehr bekannt. Sie trug nur das Datum vom Freitag. Insofern war die Identifizierung einfach. Nach Löschung konnte ich dann von Microsoft die Beta von Windows Live OneCare installieren und alles wurde gesäubert.

[XxGabbah@dxX]

Super ich danke euch für die Antwort. Ich wusste doch das eine Formatierung nicht zwingend nötig ist. Nun muss ich also nur noch rausbekommen welche .dll Datei es ist. Wenn jemand weis wie sie heist, würde ich mich sehr darüber freuen wenn jemand es hier postet.

[ShadowHunter]

Und du meinst du kannst wirklich weitere Kompromittierung ausschließen?
Alle Dateien mit Prüfsummen überprüft?
Was ist wenn ein Rootkit sich gut getarnt nun festgesetzt hat?

[XxGabbah@dxX]

Mir geht es in erster Linie darum das System wieder zum laufen zu bringen. Über kurz oder lang werde ich das System wieder neu aufsetzen. Dazu muss ich aber erstmal Backup aller wichtigen Daten machen und meine Vista DVD/Kopie finden. Denn dummerweise hab ich das Passwort und die Kopie verlegt, bzw. befindet sich irgendwo auf einer der vielen Partitionen. Diese kann ich aber nur finden, wenn mein System wieder einigermassen funktioniert. Und da mein Explorer im mom nicht funktioniert, macht sich das ganze natürlich etwas schwierig.

Ich wäre also sehr dankbar wenn mir jemand sagen könnte welche .dll Datei ich löschen muss, damit ein Windows Explorer wieder funktioniert.

[ShadowHunter]

Zitat

Dazu muss ich aber erstmal Backup aller wichtigen Daten machen

Für die Zukunft:
Sowas macht man immer rechtzeitig um es bei so einem Fall zu Händen zu haben...
Jetzt kann davon ausgegangen werden, dass wohl auch diese "wichtigen" Dateien u.U. befallen sind.
Von Passwörtern oder anderen persönlichen Daten ganz zu schweigen.

Zitat

Ich wäre also sehr dankbar wenn mir jemand sagen könnte welche .dll Datei ich löschen muss, damit ein Windows Explorer wieder funktioniert.

Wäre es nicht sinnvoller, wenn du schon versuchst von einem verseuchten System Daten zu retten, dies von einem sauberen zu machen? BartPE oder Linux Live CDs?

Dein System mag halbwegs laufen, aber was so alles mit deinen Daten passiert ist, kannst du als Laie sowieso schwer ergründen.

[XxGabbah@dxX]

Nach der infizierung habe ich sofort den Rechner vom Netz getrennt und den Rechner ausgeschaltet (Powerknopf gedrückt). Danach hab ich den Trojaner im Abgesicherten Modus halbwegs gelöscht bzw. unschädlich gemacht. Es kommt auch keine Meldung mehr darüber das der Rechner infiziert ist. Es besteht im mom, lediglich ein Problem mit der Explorer.exe. Nach der Beschreibung über den Virus ist er auch nicht sehr schädlich. Ausserdem hatte ich ihn schon mal und auch da wurden keine weiteren Dateien infiziert. Ich kann also davon ausgehen das das System und die Daten keinen größeren Schaden genommen haben. Nur der Explorer von Vista scheint etwas empfindlich auf die Änderungen, bzw. auf die von dem User oben beschriebenen .dll zu reagieren.

Ich weis das die Ratschläge gut gemeint sind. Ich habe aber soweit Erfahrung, das ich mir über die Risiken die so ein Trojaner/Virus mit sich bringen, bewusst bin. Mir geht es in diesem Thread also im mom wirklich nur darum, wie ich meinen Explorer wieder zum laufen kriegen. Ratschläge beim Verhalten einer Infizierung sind hier also eher unangebracht, da sie mir bei meinem Problem nicht wirklich weiterhelfen.

Dieser Beitrag wurde von XxGabbah@dxX bearbeitet: 15. Januar 2007 - 02:21

[ShadowHunter]

Zitat (XxGabbah@dxX: 15.01.2007, 02:20)

Danach hab ich den Trojaner im Abgesicherten Modus halbwegs gelöscht bzw. unschädlich gemacht.

Wie gut sowas funktioniert ist hinreichend bekannt.

Zitat

Es kommt auch keine Meldung mehr darüber das der Rechner infiziert ist

Was keine Annahme dafür sein kann, dass dein System jetzt sauber ist.

Zitat

Ausserdem hatte ich ihn schon mal und auch da wurden keine weiteren Dateien infiziert.

Alle Dateien anhand von Prüfsummen verglichen? hut ab..

Zitat

Ratschläge beim Verhalten einer Infizierung sind hier also eher unangebracht, da sie mir bei meinem Problem nicht wirklich weiterhelfen.

Wie gesagt am sinnvollsten wäre es deine "wichtigen" Daten zu sichern von einer Live oder BartPE CD und da geht der Dateibrowser ja. Dann spielst dien System wieder neu auf.

[XxGabbah@dxX]

Ich sagte doch bereits, das der Virus nach Angaben zb. von dieser Seite nicht sehr schädlich ist. Ich habe auch geschrieben "halbwegs" das immer noch reste des Virus/Trojaner vorhanden sein können ist mir auch klar. Es bringt mich aber wie gesagt nicht weiter, hier nun eine Grundsatzdiskussion über das Verhalten bei einer Viren/Trojaner Infizierung zu halten. Akzeptiere doch einfach meine Entscheindung, das ich versuche möchten, vorher mein System wieder funktionsfähig zu machen. Wie gesagt, werde ich in naher Zukunft mein System eh neu aufsetzen. Im mom geht es mir aber in erster Linie nur darum, (und auch das habe ich schon in Beiträgen davor geschrieben) den Explorer wieder lauffähig zu bekommen. Wenn du mir hier also wirklich helfen willst, dann finde raus, welche .dll Datei der User hier vorhin meinte.

Dieser Beitrag wurde von XxGabbah@dxX bearbeitet: 15. Januar 2007 - 02:38

[ShadowHunter]

Schon klar nur du willst den Explorer ja zum Datenretten nehmen, dazu könntest du genauso gut eine LiveCD nehmen und sie auch sichern.

[XxGabbah@dxX]

Hier geht es aber nicht um eine Standard .dll, sondern um eine neu installierten .dll Datein. Zumindest hab ich die Antwort so gedeutet. Daher würde mir ein Austausch der Standard .dll´s nichts bringen. AlexFFM hat ja nicht geschrieben das er eine .dll repariert hat, sondern das er sie gelöscht hat.

Zitat

Der Spuk mit dem ständigen Restart des Explorers konnte mit löschen einer frisch installierten .dll unter C:\Windows\System32 beendet werden.

Dieser Beitrag wurde von XxGabbah@dxX bearbeitet: 15. Januar 2007 - 17:42