Wie deinstalliere \ deregistriere ich eine *.dll

#1 wie deinstalliere ich einen mail virus im system32

O4 - HKLM\..\Run: [qvcvoql] rundll32 C:\WINDOWS\System32:qvcvoql.dll,Init 1

#2 so:

rundll32 C:\WINDOWS\System32:qvcvoql.dll,uninstall
__________
MfG Ralf
SEO-Spam Hunter

#3 "rundll32 C:\WINDOWS\System32:qvcvoql.dll,uninstall" ist zwar richtig, wird aber auf NTFS nicht funktionieren wg. der Streams...
Du hast einen Trojaner (Afcore) auf der Platte.

Falls es nicht klappt mache folgendes:
- Rundll32.exe umbenennen in Rundll32.alt
- Rechner im Abgesicherten Modus starten
- die qvcvoql.dll löschen - Vermutlich in C:\Dokumente und Eintellungen\Dein Benutzername\Temp
(Für alle anderen: Der Name der DLL ist Zufällig, kann also auch anders lauten - bei uns hieß sie gzuitld.dll)
- WICHTIG: Rundll.alt wieder in Rundll.exe umbenennen
- Rechner neu starten
- regedit aufrufen und alle Einträge, die die DLL enthalten löschen (Vor allem die RUN und RUNONCE)

#4 Natuerlich klappt das auf NTFS Systemen, warum denn auch nicht! Und wenn sich die Datei auf NTFS Systemen im "alternate Datastream" befindet, siehst du die Datei sowieso nicht(ohne weiteres)!

Was mich jetzt wirklich interessiert ist, ob du die DLL so los wirst. Ich weiss es nicht, aber es sollte so nicht klappen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi Raman,
also: ich will mich hier nicht streiten...
Das Problem ist Folgendes: Die Datei selber siehst Du zwar, kannst sie aber nicht löschen, weil Sie in der registry steht, von wo aus sie beim Systemstart geladen wird. Aus der Registry rauslöschen kannst du sie sooft Du willst, der alternate stream schreibt sie dir sofort wieder rein... Einzige Chance, die ich sehe: Das laden beim Systemstart verhindern. Das mache ich, indem ich die rundll kurz umbenenne... Der Effekt: dll kann nicht geladen, dafür aber gelöscht werden.
MFG
Dirk

#6 ich muss mich DKaufmann anschließen .. hab sie oft gelöscht aber hat nicht funktioniert, sie tauchte immer wieder auf .. werde jetzt deinen tipp versuchen

------------------------

und .. es hat geklappt .. erstamls eine wirksamme lösung gegen dieses problemm .. mal schauen ob er nicht zurückschlägt

dkaufmann .. ich stehe in deiner schuld

#7 Muss ich mich da tatsaechlich teilweise geschlagen geben?
Ich haette nicht gedacht, das das umbenennen reichen wuerde.
Das nicht loeschen koennens, kommt daher, das der Backdoor aktiv ist und kontrolliert, ob seine Eintraege noch im Autostart sind oder nicht.
"ADS" (gibt es nur bei NTFS)hat da nichts mit zu tun. Kleinen netten Bericht zu ADS gibt es hier: http://www.cknow.com/vtutor/vtntfsads.htm
__________
MfG Ralf
SEO-Spam Hunter

#8 @ Daki9: freut mich, dass es funktioniert hat und danke für die rückendeckung - damit sind wir sozusagen schuldlos...

@ raman: du hast mit deinem tip ja grundsätzlich recht gehabt - und vielleicht auch immer noch: aber ich habe wirklich alles versucht. das ding läßt sich anders nicht löschen. vor allem: auch nicht, wenn ich das system von linux boote, da kann die dll ja gar nicht aktiv sein... deswegen meine vermutung, das ein stream dranhängt... und umbenennen lässt sich der virus selber auch nicht, deswegen die umbenennung der rundll32 - was mir selber auch erstmal kalte füsse bereitet hat, ist schliesslich eine nicht unwichtige systemdatei - aber ich stand vor der wahl: tu es oder formatiere... und es hat geklappt.