Hallo zusammen,

einen Tag nachdem mein Rechner (XP Home Edition) auf einmal auf keine Eingabe mehr reagierte, hat AntivirXP bei mir den Trojaner Hcktool.Hidd.D in einer Datei ahf.dll entdeckt und gelöscht. Ich haben den Rechner sofort vom Netz genommen. Da ich nicht sicher war, wie ich reagieren soll, habe ich mich ein wenig schlau gemacht und im abgesicherten Modus eScan installiert mit folgendem VirusLog. Antivir entdeckte keine dieser Dateien.

File C:\WINDOWS\pfcomp.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\vcxs.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wintrues.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\spoolsv16.exe tagged as not-a-virus:RiskWare.Monitor.OrvellMonitor. No Action Taken.
File C:\WINDOWS\pfcomp.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\spoolsv16.exe tagged as not-a-virus:RiskWare.Monitor.OrvellMonitor. No Action Taken.
File C:\WINDOWS\vcxs.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wintrues.ini infected by "Backdoor.IRC.Flood.ae" Virus. Action Taken: No Action Taken.
File D:\Internet\Firewall & Sonstiges\Orvell\setup.exe tagged as not-a-virus:RiskWare.Monitor.OrvellMonitor. No Action Taken.
File D:\Treiber\PERIPHERIE\WEBCAMS\MD 9369\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Treiber\PERIPHERIE\WEBCAMS\PENCAM MD 9456\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Lustigkeiten\Internet\Programme\Freibier.exe tagged as not-a-virus:Joke.Win32.FreiBier. No Action Taken.


Es wäre klasse, wenn ihr mir dazu ein paar Fragen beantwortet:

1. Wie bekomme ich diesen Schrott wieder runter und wo könnte ich erkennen, was der angerichtet hat? Reicht es, diese Dateien nur zu löschen oder muss ich den Rechner neu installieren? Falls ja, kann ich im normalen Modus an den Rechner, um meine Netzwerkeinstellungen abzuschreiben und alles auf D: zu deinstallieren, was ich sowieso neu installieren muss, da es mit dem System "verbunden" ist: Eudora, Videoplayer etc.

2. Falls ich ihn neu installieren müsste: Ich habe einen "Aldi-Rechner" der mittels einer Datei "retten.exe" die Ausgangskonfiguration des Rechners auf dem Systemlaufwerk C wiederherstellt. Allerdings traue ich diesem nicht so ganz, da ich nicht weiss, ob der Trojaner/Virus schon irgendwelchen Blödsinn veranstaltet hat. Reicht diese "quasi Neuinstallation" aus, um meinen Rechner wieder sauber zu bekommen?

3. Welche Schritte empfiehlt ihr, bevor ich den Rechner wieder ans Netz lasse? Ich habe gedacht an Servicepack2, Antivir XP, ZoneAlarm, eScan, AdAware oder Spybot. Gibt es noch andere Software, die ihr empfehlen könnt, um den Rechner sicherer zu machen?

So, das war´s ;-)
Danke für Eure Hilfe und Gruß

ut2o

Hi bei Backdoor ist es immer das sicherste wenn Du Dein System neu aufsetzt
Siehe dazu hier



Gruß Gigamail

Zitat:

Zitat von ut2o

Hallo zusammen,

einen Tag nachdem mein Rechner (XP Home Edition) auf einmal auf keine Eingabe mehr reagierte, hat AntivirXP bei mir den Trojaner Hcktool.Hidd.D in einer Datei ahf.dll entdeckt und gelöscht. Ich haben den Rechner sofort vom Netz genommen. Da ich nicht sicher war, wie ich reagieren soll, habe ich mich ein wenig schlau gemacht und im abgesicherten Modus eScan installiert mit folgendem VirusLog. Antivir entdeckte keine dieser Dateien.

ut2o

Hast du das Proggi "Arkas Hide Folders" installiert?
Falls ja, die ahf.dll gehört dazu und ohne die läuft es nicht mehr richtig...

Hallo h_klein,

danke für den Hinweis. Stimmt, AKAS hatte ich installiert. Bisher (also nach dem Neuaufsetzen des Rechners) habe ich es nicht wieder neu installiert. Ist der Trojaner "standardmäßig" in der ahf.dll vorhanden oder hat er sich da irgendwie reingeschlichen? Oder ist die Datei etwa harmlos und Antivir reagiert hier über??? Wäre mal interessant zu wissen, bevor ich mir AKAS wieder draufspiele und der ganze Schlamassel von vorne losgeht...
Gruß

ut2o

Zitat:

Zitat von ut2o

Hallo h_klein,

danke für den Hinweis. Stimmt, AKAS hatte ich installiert. Bisher (also nach dem Neuaufsetzen des Rechners) habe ich es nicht wieder neu installiert. Ist der Trojaner "standardmäßig" in der ahf.dll vorhanden oder hat er sich da irgendwie reingeschlichen? Oder ist die Datei etwa harmlos und Antivir reagiert hier über??? Wäre mal interessant zu wissen, bevor ich mir AKAS wieder draufspiele und der ganze Schlamassel von vorne losgeht...
Gruß

ut2o

Als die ahl.dll ist eine notwendige Datei, die Arkas Hide Folders benötigt um richtig zu laufen. Mir ist nicht bekannt, dass es einen Trojaner mit demselben Namen gibt. Daher denke ich dass Anweder die Datei an das AntiVir-Team geschickt haben, und seit der Version 6.29 einfach mitaufgenommen wurde...
Ich bekomme seitdem nämlich ständig die Fehlmeldungen und im AV-Guard lassen sich auch keine Dateien herausnehmen... das geht nämlich nur im AV-Hauptprogramm...
Ich habe AntiVir schon angeschrieben, aber da ich nur ein Privatanwender bin wurde die Anfrage ignoriert...