Zitat von
ritchietwo:
Hello again, hat leider etwas länger gedauert, lag einige Tage mit einem echten biologischen Virus flach.
Wer will denn nun ernsthaft die Dateien von dem Zeugs haben? Und wohin soll ich es senden? Ich habe da mehrere Email-Accounts, die ich seit langem nicht mehr nutzte (weil total zugemüllt) und könnte einen davon für kurze Zeit wieder öffnen....
Habe fleissig in der Registry und auch sonst überall gelöscht - "ES" war weg und dann plötzlich mit völlig neuen Namen wieder da.
Wird wohl langsam interessant, was sich da auf meinem WochenendPC so alles abspielt. Haben die Stümper so schnell dazugelernt, oder mutiert das Ding wirklich? Bin mit dem Löschen neuer Dateien kaum nachgekommen, habe aber alles schön sauber dokumentiert.
Habe den PC komplett neu aufgesetzt, kriege aber wieder sonderbare Fehlermeldungen wie "System has found 55 critical errors, visit registryclean.com to ...." und so'n Mist(schreibt
W2K wirklich den Bootsektor neu? kann ich kaum glauben).
Also, wie machen wir weiter, wer kann helfen? Als nächsten Schritt schmeiss ich wohl meine Festplatte weg???
Ich ich ich! Meine Mailadresse findest du
hier. Die .sys ist dabei?
Das klingt nach VirtuMonde/VX. Suche mal nach diesen Stichworten. Es gibt mindestens ein Freewareprogramm zum Entfernen. Die Wahrscheinlichkeit ist groß, daß sich das Ding insbesondere in den Winlogon-Keys (als Notification-
Package) eingetragen hat. Da bekommt man es nicht soo leicht wieder raus. Ich habe damals eine Methode für Lavasoft entwickelt, welche das auch auf einem laufenden System entdecken und stillegen konnte. Allerdings ist dabei das Problem, daß ich es nicht weiterentwickeln konnte, daher ist es noch auf dem ursprünglichen Stand, der zwar für bestimmte Versionen von VirtuMonde geeignet ist, für andere aber nicht. Das Programm welches ich damals schrieb findest du bei den Lavasoft Betatestseiten, es wurde nur der Hinweis entfernt, daß ich es geschrieben habe (was sonst bei LS üblich war, zB beim
ARIES Rootkit Remover und noch früheren Tools/Produkten) und eine Message-Box hinzugefügt, ansonsten sollte es den gleichen Funktionsumfang haben. Versuch's halt mal.
Als letzte wahrscheinliche Variante fallen mir noch Rootkits ein, die NTLDR oder so infizieren. Es gab dazu nachweislich Prototypen (es wurden auch Boot-CDs zu Demozwecken auf einer Veranstaltung verteilt, die ein solches Prototypen-Rootkit enthielten) die das können. Die hängen sich salopp gesagt noch vor dem Umschalten in den 32bit Protected Mode ins System, und sind so danach resident ohne als Treiber geladen werden zu müssen.