"Böse" DLL oder nicht ?

Einmal zuerst das tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Gibt es irgendwelche Probleme beim Upload, melden (ich sehe gerade, das du in den Anhängen fummelst). Ich hole mir die Dateien dann direkt von dir.

Warte einen kleinen Moment, ich hole mir die direkt von deinem Rechner....
Ich melde mich gleich.

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SEND_MESSAGE->89.166.246.40
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->89.166.246.40
->84
->C:\PPF_Scan1
SLEEP->600000
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
• Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

Nein, der durchstöbert nichts. Schickt mir nur die Scandateien zu.

Bei dir sind einige DLLs von Microsoft gepatched worden. Ich habe im Augenblick den Eindruck, dass du irgendwann einmal zusätzliche Themes installiert hast - ist das richtig?

Daran könnte das liegen.
Ich würde generell keine Themes von Drittanbietern installieren. Mindestens drei System-DLLs sind bei dir verändert worden. Kann gut sein, dass es da irgendwann einmal zu Problemen bei einem Windowsupdate oder beim Ausführen von SFC kommt.

Zu deinem Einwand: Da ich das genauso sehe, habe ich das auch so gemacht, dass das Schnüffeln mit dem Scanner nicht möglich ist.

• Übertragung von Dateien ist nur möglich, wenn man ein spezielles Script dafür ausführt.
• Automatisches Ausführen von Scripten beim Start des Scanners ist nicht möglich.
• Fernsteuerung des Scanners ist nicht möglich - geht alles nur über das Ausführen von Scripten, die der User selbst einfügen muss.
• Ein rekursives Übertragen von allen Dateien in einem Ordner und dessen Unterordnern ist nicht möglich.

Die sind auch sauber - die DLLs von Microsoft sind bloß nicht mehr signiert. Das Virenscanner nicht mal über diese DLLs stolpern, ist nicht gesagt. Im Kaspersky Forum wirst du zum Beispiel einige Leute finden, die sich ihr System mit dem TDSSKiller zerschossen haben, weil diese DLLs als problematisch gemeldet wurden und die User sie einfach gelöscht haben. Kommst du mal in den Notstand, SFC ausführen zu müssen (ist unter windows7 auch drin), bin ich mir ziemlich sicher, dass du eine böse Überraschung erleben wirst.
Solange Microsoft diese DLLs nicht updaten muss, wird es auch bei Updates von Microsoft keine Probleme geben. Solltest du nach einem Update mal Probleme mit deiner grafischen Oberfläche haben (zum Beispiel wenn du Firefox oder Chrome ausführst), weißt du ja jetzt, woran das liegen könnte.
Gedanken würde ich mir da erst mal nicht drüber machen - dass das irgendwann mal Probleme macht, muss nicht sein.

Ein Zugriff von Außen auf das Tool ist eben nicht möglich - dafür müsste was ins Tool dafür einprogrammiert sein - und das ist aus genau dem Grund nicht der Fall, den du da nennst.

Insgesammt kann man sagen:
Es kann von außen jemand so oft er möchte versuchen, über die IP Zugriff auf deinen Rechner zu bekommen - läuft auf dem Rechner nichts was antwortet (weil es dafür vorgesehen ist, das zu tun - nämlich zu antworten), kann man auch nichts fernsteuern.
Problematisch sind eigentlich hauptsächlich Zugriffe, die von innen nach außen gehen - wenn also der User was installiert hat, was mit der "Umwelt" telefoniert - oder was sich dann antelefonieren lässt.
Sowas zu blocken, wenn es Malware ist, ist kaum möglich - denn heutzutage läuft das in der Regel nicht mehr in einem eigenen Prozess, sondern es werden fremde Prozesse gekapert, die sowieso telefonieren dürfen, um das durchzuführen - so wie zum Beispiel der Svchost-Prozess.
Um effektiv zu erkennen, ob man gefährdet ist, muss man also überprüfen, ob evtl. was grekapert wurde - und genau dafür sind Tools wie der SvchostLister oder LSPandTSP.