Ein Virenscan hat nicht geholfen. Die anderen Programme sind zwar gelaufen, aber der Explorer blieb immer für ein paar Minuten tot und auch auf den Desktop bin ich nicht mehr gekommen. Lästig!

Gestern Abend war es dann ganz schlimm. Die CPU lief minutenlang in Volllast und wurde heißer und heißer … ich hab schon befürchtet, das irgendetwas passiert. Ich hab nochmal Hijackthis laufen lassen, und fand zwei Einträge, die verwaist waren, davon einer, der direkt den Internetexplorer betraf, aber wohl nicht nur den.
Seitdem scheint es besser zu sein, heute ist mir das Problem nicht mehr untergekommen. Ich hatte allerdings auch nicht so viel zu tun heute im Explorer. Na, mal sehen …

Ich war mal wieder auf Webseiten, wenn die aufpoppen, ist der Virenscanner nur noch am Rödeln. Scheinbar rödelte er aber am Wichtigsten vorbei. Ich war schon längst fertig mit Surfen, gehe auf meinen Desktop und finde ihn anstatt in dezentem Schwarz mit meinem Desktopkalender in Kreischblau, in der Mitte ein schwarzer Kasten mit roter Schrift:

SPYWARE INFECTION

Your system is infected with spyware. Windows recommends you to use a spyware removal tool to prevent loss of important data and increase system prefomance. Using this PC before having it cleaned from spyware threats is highly discouraged.

Kreisch! (und das nicht blau)

Okay, Wallpapers lassen sich ja leicht wechseln. Pustekuchen! Das System zeigt an, ich hätte kein Hintergrundbild auf dem Desktop und im übrigen klicke ich ins Leere, die Liste reagiert nicht. Na prima!

Zuerst hab ich Hijackthis drüberlaufen lassen, der fand einen Haufen Cookies, aber sonst nichts ungewöhnliches. Also hab ich gleich gegoogelt. Feines Ergebnis: http://www.paules-pc-forum.de/phpBB2/topic,60635.html.
Ziemlich weit unten gibt das Mitglied “Printmaster” den guten Tipp: Erstens, man soll den Wallpaper Hijack Remover unter http://www.ieshell.com/dl.html herunterladen und man soll zweitens mal die Testversion von The Cleaner herunterladen: http://www.moosoft.com/products/cleaner/download/

Der Wallpaper Hijack Remover ist – wie HijackThis! – eine schlanke exe-Datei, die auf meinem Desktop gleich ein warmes Plätzchen gefunden hat. Beim Starten gibt sie mir ein Beispiel aus, was mit meinem Rechner los sein könnte: “A fatal error in IE has occurred at 0028:C0011E36 in
VXD VMM(01) 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c” und den Hinweis, die Platte mit einem Virenscanner zu überprüfen. Das spare ich mir erstmal, so lange ich nicht die neueste Virensignatur runtergeladen habe (und das habe ich noch nicht). Dann geht es weiter, ich klicke auf “Check for Hijack”, dann bei den einzelnen Optionen auf “Repair” und kann anschließend den hässlichen Desktop-Hintergrund wieder gegen meinen gewohnt dezenten Kalender austauschen!

Derweil hab ich den Virenscanner auf den neuesten Stand gebracht (AntiVir) und er meldet mir gerade eine Datei im Download-Verzeichnis, die mit dem Trojanischen Pferd TR/Dldr.Small.bvn infiziert sein soll. Währenddessen läuft “The Cleaner” und verrichtet seinen Dienst. Den
merke ich mir, werde ihn aber erstmal wieder deinstallieren, wenn er seine Arbeit getan hat. Das wird aber noch einige Zeit dauern …

Einen Virus im Email-Anhang zu haben, ist mir nichts ungewöhnliches. Wie immer klicke ich das Ding neugierig an. Anstatt dass das Antivirenprogramm ausflippt, öffnet sich WinZip. Da war es wohl schon zu spät.

Der Nachrichtentext lautet folgendermaßen:
Verdammt,,,, ich hatte vergessen Dir meinen Text mitzuschicken.

Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!

Ich melde mich.

Bis bald

Der Anhang ist die gezippte Datei “Private-Texte.zip”

Erstmal merke ich nichts. Dann fragt ZoneAlarm, ob irgendeine 1472-ichweißnichtmehrwas-exe auf das Internet zugreifen darf. Eine services.exe macht sich als Dienst bemerkbar. Ich will den Virenscanner anwerfen. Ein Fenster öffnet sich, das wäre unnötig, die Platte wäre gescannt und virenfrei. Ah ja! Jetzt wird es mühsam. Mit meinen wenigen Informationen will ich googeln. Die DFÜ-Verbindung wird jedes Mal nach wenigen Sekunden getrennt. Trotzdem finde ich die exakte Beschreibung des Virus unter

viren_und_sicherheit/virus_warnungen/vw190405/ . Gott sei Dank habe ich jemanden mit Laptop greifbar, der mir die neueste Version des Virenscanners herunterladen kann, aber es funktioniert immer noch nicht. Ich muss die services.exe, die sich mehrfach als Dienst startet, aus dem System kriegen.

Hochfahren im abgesicherten Modus. HijackThis (zu bekommen unter http://www.merijn.org/index.html) ist der Retter in der Not, da das Virenprogramm den Virus noch nicht erkennt. Im abgesicherten Modus gestartet, erkennt HijackThis im ersten Durchlauf zwei Instanzen der services.exe, die ich entfernen kann. Im zweiten Durchlauf ist noch einmal eine Instanz vorhanden, die auch bereinigt werden kann. Im dritten Durchlauf ist alles okay.

Der Neustart im normalen Arbeitsmodus lässt mich durchschnaufen: Alles wieder okay! Nochmal HijackThis drübergejagt, aber keine Probleme mehr gefunden. Tags darauf gab es übrigens noch ein aktuelles Update für das Virenprogramm, das dann den Virus identifizieren und entfernen konnte.

Fazit: Keine Panik! Aber man sollte HijackThis und mindestens ein Programm zur Adware-Abwehr immer greifbar haben und auch verwenden.

Ich habe dann viel rumgesucht, Definitionen gefunden, was die rundll32.exe macht (einmal kurz google anwerfen und man weiß bescheid) und nichts verstanden. Eher zufällig kam ich auf eine Diskussion in einem Forum, wo jemand von eben diesem Fehlverhalten berichtete und von einem Scan mit HijackThis und was er jetzt tun sollte. Kurz darauf beschrieb er, wie er das Problem gelöst hatte, und ich weiß zwar nicht, was das bedeutet, aber es hat auch bei mir geklappt.

Als erstes habe ich mir also das Programm HijackThis besorgt, das gibt es hier: http://www.merijn.org/downloads.html. Dann habe ich damit einen Scan durchgeführt, was dabei rauskommen kann, wird hier erklärt:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html. Schlussendlich habe ich erst einmal die Einträge mit rundll32.exe fixen lassen und danach die Einträge mit bridgedll.exe. Nachdem ich das gemacht habe, hat alles wieder funktioniert. Die restlichen
Einträge von HijackThis habe ich einfach mal ignoriert. Wer sich da reinschaffen will, bitte …

Der Thread im Forum ist inzwischen auch weiter gegangen. Es scheint sich um einen Trojaner zu handeln, der sich an die bridgedll.exe dranhängt und Probleme bereiten kann. Falls jemand die Diskussion selbst lesen will, hier geht es zum Forum:

http://www.daniweb.com/techtalkforums/thread4466.html.