Virus in .dll datei

[Sack]

hey,
ich habe mir mal wieder einen Virus eingefangen. Das Problem ist, dass mein Virenprogramm (sophos antivirus) den Virus zwar wärend der on-acces Überprüfung sieht (es öffnet sich im sekundentakt ein Fenster als Warnung), also während es ausgeführt wird, nicht aber wenn ich einen Systemcheck durchführe (nur da kann man den VIrus auch löschen). Der Pfad des Virus ist: C:\windows\system32\gebab.dll Ich habe versucht den Virus versucht manuell zu löschen (shift+Entf) allerdings kommt dann die Fehlermeldung, dass die datei von einem anderen Programm verwendet wird.

Hijackthis findet den Virus auch nicht, da er sich ja in einer dll datei versteckt und nicht in einer .exe datei

Gibt es noch einen anderen Weg den Virus Los zu werden ausser den PC neu aufzusetzen?

# Sack

[Becker71]

Avira Antivirus.....

oder regcleaner.....meiner löscht auch dll´s

[Sack]

avira bringt auch nichts, was meinst du mit regcleaner?

[Becker71]

Zitat:

Zitat von Sack

avira bringt auch nichts, was meinst du mit regcleaner?

regcleaner ist ein programm, mit dem du die registry reinigen kannst, bei manchen kannst du auch dll´s löschen wenn sie dir bekannt sind.


google einfach mal regcleaner4.3 vielleicht hilft der dir.....

[Sack]

er hat mir nicht geholfen und jetzt bekomme ich auch immer ein paar min nachdem ich meinen PC angemacht habe eine meldung von wegen system unstable und beim start von windows öffnet sich explorer.exe nicht mehr. Ich glaube ich werde wohl oder übel formatieren müssen, oder fällt einem von euch noch was ein?

[Becker71]

pc zurücksetzen azf die letzte normalfunktionierde Patition(Systemwiederherstellungspunkt)

[Totte]

Schon mal abgesichert probiert?
Vorher aber die Systemwiederherstellung abschalten
Ansonsten kannst du das Problem auch mit unlocker beseitigen

[Sack]

ja ich hatte es schonmal im abgesicherten versucht, probiere es jetzt uch mal mit diesem unlocker und hoffe das es keine "lebenswichtige" .dll datei ist.

[Sack]

ich habs jetzt mit dem unlocker gelöscht, aber jetzt ist mein pc irgendwie gaaaaaaaaaaanz langsam, und mein PC schafft es nichtmal mehr eine w-lan verbindung herzustellen. Kann man die datei irgendwie wiederherrstellen so dass die datei wieder richtig ohne virus da ist?

ps: der pfad ist c:\windows\system32\gebab.dll

[Totte]

Der Virus hat natürlich dein System dahingehend verändert, das die Datei verwendet wurde. Nun solltest du ermitteln, wofür (bei mir gibt es die nicht). Auch in diversen Listen der Dateinamen erscheint diese nicht
http://www.reger24.de/processes.php?filter=G

Welche Prozesse laufen bei dir momentan?
Du kannst eine Reparaturinstallation durchführen, mit deiner Win-CD
Wie das geht, steht HIER

[Sack]

also aktuell laufen bei mir die prozesse:
leerlaufprozess
system
smss.exe
mdm.exe
csrss.exe
applemobiledeviceservice.exe
wlannetservice.exe
googleupdaterservice.exe
iexplore.exe (weil mein firefox nichmehr funzt)
msnmsgr.exe
service.exe
winlogon.exe
services.exe
lsass.exe
alsvc.exe
wscntfy.exe
ipodservice.exe
svchost.exe
svchost.exe
savadminservice.exe
savservice.exe
svchost.exe
svchost.exe
svchost.exe
spoolsv.exe
usnsvc.exe
aston.exe
jusched.exe
ituneshelper.exe
wlangui.exe
almon.exe
googleupdater.exe
whatpulse.exe
alg.exe
ctfmon.exe
wlloginproxy.exe (was ist das???)
svchost.exe

hilft das weiter?

[Totte]

wlloginproxy =>

Zitat:

(C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live) Microsoft Windows Live Login Helper (Windows Live Messenger) , Info

aston.exe ??
Wie gesagt, die datei ist nicht zu finden, kann es sein, das die von AVM ist (du nutzt ja einen WLAN-Stick)
Ich schlage vor: Reparaturinstallation, Sophos neu rauf und dann Fritz!

[Sack]

Zitat:

Zitat von Totte

wlloginproxy =>

aston.exe ??
Wie gesagt, die datei ist nicht zu finden, kann es sein, das die von AVM ist (du nutzt ja einen WLAN-Stick)
Ich schlage vor: Reparaturinstallation, Sophos neu rauf und dann Fritz!

aston ist so nen progg damit der desktop schicker aussieht (is aber ganz neu also als der Virus kam wa aston.exe noch nich da.

reperaturinstallation hab ich schon gemacht sophos auch.

[Jacky]

Zitat:

Zitat von Sack

[...] Kann man die datei irgendwie wiederherrstellen so dass die datei wieder richtig ohne virus da ist? [...]

Hallo Sack, habe mal nach deiner "gebab.dll" Google befragt und dabei festgestellt, dass diese Datei der Trojaner Vundo ist. Also würde ich darauf verzichten, diese Datei wiederherstellen zu wollen. Trojan.Vundo

Mit dem Löschen der Datei wirst du das Problem nicht beseitigt haben, weil sich das Ding mehrfach in deiner Registry eingetragen hat und von dort aus versuchen wird die gelöschte Datei zu starten. Das würde auch das Verlangsamen deines Systems erklären. Du könntest vielleicht mal das Removal Tool von Symantec ausprobieren und schauen, ob du es damit hinbekommst.

Ansonsten gibt es noch eine Anleitung im HijackThis-Forum. Aber es könnte sein, dass der Fall dort etwas anders ist und dir die Anleitung nichts bringt. Aber mal anschauen kostet ja nichts.

[Sack]

also erstmal danke

Zitat:

Zitat von Jacky

Hallo Sack, habe mal nach deiner "gebab.dll" Google befragt und dabei festgestellt, dass diese Datei der Trojaner Vundo ist. Also würde ich darauf verzichten, diese Datei wiederherstellen zu wollen. Trojan.Vundo

ok wiederherrstellen will ihc ihn dann nichtmehr...

Zitat:

Zitat von Jacky

Mit dem Löschen der Datei wirst du das Problem nicht beseitigt haben, weil sich das Ding mehrfach in deiner Registry eingetragen hat und von dort aus versuchen wird die gelöschte Datei zu starten. Das würde auch das Verlangsamen deines Systems erklären. Du könntest vielleicht mal das Removal Tool von Symantec ausprobieren und schauen, ob du es damit hinbekommst.

ich schaus mir mal morgen an... mit meinen 13 jahrn bin ich nicht bereit zu solch später stund noch was englishes zu lesen...

Zitat:

Zitat von Jacky

Ansonsten gibt es noch eine Anleitung im HijackThis-Forum. Aber es könnte sein, dass der Fall dort etwas anders ist und dir die Anleitung nichts bringt. Aber mal anschauen kostet ja nichts.

schau ich mir auch morgen an.

aber auf jeden fall schonmal danke.