Werde "Keylogger.Trojan" nicht los

Norton Antivirus meldet auf dem Laptop meines Kumpels dass die Datei "lol.dll" in C:\Windows\System32\ mit "Keylogger.Trojan" infiziert ist. Diese Datei lässt sich im abgesicherten Modus löschen, taucht aber bald wieder neu auf (auch offline). Und solange diese Datei gelöscht ist findet NAV keine anderen infizierten Dateien.
Habe bereits gegoogelt, aber keinen helfenden Hinweis gefunden.

Sein System:
WinXP Pro
Norton Antivirus 2004 (OEM) auf neuestem Stand
McAfee Personal Firewall


Thx - Joe

Schau mal mit msconfig nach, was alles beim Systemstart gestartet wird, und deaktiviere alles, was dir suspekt erscheint.

Inhalt der msconfig:

• Ati2mdxx.exe
• C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
• carpserv.exe
• C:\Windows\System32\NeroCheck.exe
• regsvr32 /s mqrt.dll
• C:\Programme\Synaptics\SynTP\SynTPLpr.exe
• C:\Programme\Synaptics\SynTP\SynTPEnh.exe
• C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
• rundll32.exe stmctrl.dll, TaskBar
• C:\Windows\System32\syshost.exe
• C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
• C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
• C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe
• Linux.exe
• C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l

Meine Kommentare dazu:

• Ati2mdxx.exe -> ATI?
• C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe -> ATI
• carpserv.exe -> ???
• C:\Windows\System32\NeroCheck.exe -> Nero
• regsvr32 /s mqrt.dll -> ???
• C:\Programme\Synaptics\SynTP\SynTPLpr.exe -> Synaptics Touchpad
• C:\Programme\Synaptics\SynTP\SynTPEnh.exe -> dito
• C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe -> HP
• rundll32.exe stmctrl.dll, TaskBar -> Windoof
• C:\Windows\System32\syshost.exe -> auch irgendwas Windoofiges
• C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe -> Symantec
• C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe -> Symantec
• C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe -> McAfee-Firewall
• Linux.exe -> ???
• C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l -> MSOffice-Autostart

Deaktivier mal einfach die Punkte, wo ich ??? dahinter geschrieben habe, denn die kenne ich nicht. Wenn es danach nicht mehr auftritt, dann hast du den Kandidaten schon eingegrenzt. Dann kannst du die deaktivierten Nacheinander wieder aktivieren, bis das Problem wieder auftritt.

Mein prsönlicher Kandidat (für den Virus) ist dieser Eintrag: regsvr32 /s mqrt.dll
Denn dlls muss man nur einmal registrieren. Wenn das immer wieder erfolgt, dann wollte entweder ein Programmierer auf Nummer sicher gehen, oder da ist wirklich was faul.

Viele Grüße,
Stefan

NebuchadnezzaR_2069 schrieb:

Inhalt der msconfig:

• C:\Windows\System32\syshost.exe
  

Zum Vergrößern anklicken....

Ist auch ein Wurm.

http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html

Erstmal danke für die Antworten.
Hab gestern die Einträge carpserv.exe, syshost.exe und Linux.exe vom Systemstart deaktiviert und bis jetzt ist noch keine Virenmeldung aufgetaucht. Die syshost.exe hab ich vorhin gleich gelöscht. Und die Linux.exe ist auf dem ganzen Rechner nicht zu finden; keine Ahnung was das sein soll.

Noch was: habe gerade gesehen, dass die Firewall mit eMule runtergeladen wurde! Die werd ich jetzt sofort runterwerfen. Welche Firewall könnt ihr empfehlen? Sie sollte so einfach wie möglich zu bedienen sein, so dass er alleine damit klar kommt.

Joe

Nimm Kerio, die taugt was. Ist ähnlich einfach wie ZoneAlarm, d.h. du kannst Programme generell freischalten, aber du kannst zusätzlich noch den Paketfilter nützen. In der Freeware-Version ist allerdings nach 30 oder 45 Tagen das Web-Filtering deaktiviert. Brauchst das also gar nicht einrichten.