Hilfe
Neues Thema
Antworten
geschrieben
hi zusammen
hab in meinem system32 ordner eine inoffizielle anwendung (virus? spyware?... bin mir nicht sicher was genau).
die datei läuft auch als prozess im taskmanager.
wenn ich den nun beende, erscheint ein neuer prozess mit ähnlich komischem namen. der name der datei ändert sich dann auch dementsprechend
die datei einfach so kann ich nicht löschen, da sie immer vom prozess gebraucht wird.
kennt jemand ein tool, dass dateien entfernt auch wenn diese blockiert sind?
danke schon jetzt!!!
PS: Norton 05, neuste Ad-Aware version und spybot s&d erkennen die datei nicht. sonst sollte ich keine malware mehr auf dem system haben
Datei Löschen
Nach oben
#2
.schaKal 
geschrieben 24. April 2005 - 15:02
Hast du schon versucht die Datei im abgesicherten Modus zu löschen?
Und poste mal dein Hijackthis-Log.
Und poste mal dein Hijackthis-Log.
Dieser Beitrag wurde von .schaKal bearbeitet: 24. April 2005 - 15:12
#3
shogun03
geschrieben 24. April 2005 - 15:11
das ist mit hoher wahrscheinlichkeit malware, wenn der prozess beim löschen ect. einen neuen name bedingt durch ein vorhandenes backup annimt.
poste hier das hijackthis logbuch
poste hier das hijackthis logbuch
#4
Megolk
- Gruppe: aktive Mitglieder
- Beiträge: 737
- Beigetreten: 07. September 02
- Reputation: 0
- Geschlecht:Weiblich
geschrieben 24. April 2005 - 15:16
Du sagst (schreibst) ja, die Datei sei im System32-Ordner enthalten... wie heißt denn die Datei? schon mal Google nach der Datei gefragt?
Und wie schon shogun03 und .schaKal sagten, könnte http://www.hijackthis.de/ da etwas behilflich sein
Und wie schon shogun03 und .schaKal sagten, könnte http://www.hijackthis.de/ da etwas behilflich sein
Dieser Beitrag wurde von Megolk bearbeitet: 24. April 2005 - 15:17
Niveau sieht nur von unten aus wie Arroganz!
#5 _MasterChiefDX_
geschrieben 24. April 2005 - 15:58
die datei heisst zurzeit "ctwftw.exe"
bei firma und beschreibung steht noch "TODO: <company name>" bzw "<file description>"
bei der auswertung des logfiles erkennt er diese datei nicht (aber zb der realtek soundtreiber ist böse)
ach ich komm nicht mehr in den abgesicherten modus. war das nicht mal F8?
bei firma und beschreibung steht noch "TODO: <company name>" bzw "<file description>"
bei der auswertung des logfiles erkennt er diese datei nicht (aber zb der realtek soundtreiber ist böse
)ach ich komm nicht mehr in den abgesicherten modus. war das nicht mal F8?
#6
Daylight
geschrieben 24. April 2005 - 16:06
Mal Process Explorer runterladen und schauen ob sich ein prozess auf die datei bezieht wenn ja prozess beenden und datei löschen.
Gruß Daylight
Gruß Daylight
#7
ox_eye
- Gruppe: aktive Mitglieder
- Beiträge: 1.439
- Beigetreten: 12. August 04
- Reputation: 2
- Geschlecht:Männlich
geschrieben 24. April 2005 - 16:15
Ansonsten machst du dir eine Bootdiskette für den DOS Modus. Ich zB benutze für solche Sachen die Bootdiskette von Win ME. Dann wechselst du im DOS Modus in das Verzeichnis und löschst die Datei mit dem del Befehl.
Edit: Sorry, ich weiss nicht, ob es mit meiner Idee auch für NTFS geht. Habe ich gar nicht dran gedacht
Edit: Sorry, ich weiss nicht, ob es mit meiner Idee auch für NTFS geht. Habe ich gar nicht dran gedacht
Dieser Beitrag wurde von ox_eye bearbeitet: 24. April 2005 - 16:24
#8 _Breaker_
geschrieben 24. April 2005 - 16:31
Scan mal hiermit:Virenscanner free.
Schreib dir dann auf, wie der Wurm,trojaner... heisst, und such bei Google danach oder poste den Namen hier, falls dieser Scanner was findet.
Schreib dir dann auf, wie der Wurm,trojaner... heisst, und such bei Google danach oder poste den Namen hier, falls dieser Scanner was findet.
Dieser Beitrag wurde von Breaker bearbeitet: 24. April 2005 - 16:32
#9 _MasterChiefDX_
geschrieben 24. April 2005 - 16:31
Process Explorer bringt auch nicht viel
komm nie weiter als system32/"sichständigändernd.exe"
der laufende prozess blockiert die datei immer, somit kann ich sie einfach so nicht löschen
beende ich den prozess, ändert sich der dateiname und erscheint wieder als prozess mit dem neuen namen
komm nie weiter als system32/"sichständigändernd.exe"
der laufende prozess blockiert die datei immer, somit kann ich sie einfach so nicht löschen
beende ich den prozess, ändert sich der dateiname und erscheint wieder als prozess mit dem neuen namen
#10
flo
- Gruppe: aktive Mitglieder
- Beiträge: 7.911
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 24. April 2005 - 16:35
Hallo
Lad die mal escan runter
das bekommst du hier
http://www.trojaner-...ker/escan.shtml
beachte die anleitung!
scanne den PC im abgesicherten modus
Wichtig Aktiviere Scan all Files und Scan all local Drives
das ergebnis poste wieder hier
Lad die mal escan runter
das bekommst du hier
http://www.trojaner-...ker/escan.shtml
beachte die anleitung!
scanne den PC im abgesicherten modus
Wichtig Aktiviere Scan all Files und Scan all local Drives
das ergebnis poste wieder hier
#11
DK2000
- Gruppe: Administration
- Beiträge: 19.571
- Beigetreten: 19. August 04
- Reputation: 1.436
- Geschlecht:Männlich
- Wohnort:Oben auf dem Berg
- Interessen:Essen, PC, Filme, TV Serien...
geschrieben 24. April 2005 - 17:01
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Dazu müsste noch eine nail.exe, dload.exe und ein paar andere Dateien mit seltsamen, wechselnden Namen gehören. Ist übelste Spy-/Malware, da man die nur schwer los wird.
Neuinstallation wäre angebracht, wenn es wirklich das Teil ist.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Dazu müsste noch eine nail.exe, dload.exe und ein paar andere Dateien mit seltsamen, wechselnden Namen gehören. Ist übelste Spy-/Malware, da man die nur schwer los wird.
Neuinstallation wäre angebracht, wenn es wirklich das Teil ist.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#12 _MasterChiefDX_
geschrieben 24. April 2005 - 17:24
oh :S
hab
bolger.dll
drpmon.dll
yatewtbvmwa.exe und
namenändertsichständig.exe
krieg ich die weg mit irgendnem shredder oder so?
hab
bolger.dll
drpmon.dll
yatewtbvmwa.exe und
namenändertsichständig.exe
krieg ich die weg mit irgendnem shredder oder so?
#13
-milon-
- Gruppe: aktive Mitglieder
- Beiträge: 510
- Beigetreten: 21. Dezember 03
- Reputation: 0
- Wohnort:Augsburg/Bayern
geschrieben 24. April 2005 - 17:29
Grüß Gott,
für solche und ähnlich gelagerte Fälle empfiehlt sich ein zweiter oder dritter "Eingang" auf den Rechner. Auf gut deutsch: ein weiteres Betriebssystem. Mit diesem kann ich dann ohne weiteres auf die Partition des "Problembetriebssystems" kommen und dort ggfs. Aktionen durchführen.
für solche und ähnlich gelagerte Fälle empfiehlt sich ein zweiter oder dritter "Eingang" auf den Rechner. Auf gut deutsch: ein weiteres Betriebssystem. Mit diesem kann ich dann ohne weiteres auf die Partition des "Problembetriebssystems" kommen und dort ggfs. Aktionen durchführen.
#14
flo
- Gruppe: aktive Mitglieder
- Beiträge: 7.911
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 24. April 2005 - 17:31
mach das doch mal mit e-scan, dann wissen wir es genau, obwohl ich jetzt schon zu einer neuinstallation raten würde
#15 _MasterChiefDX_
geschrieben 24. April 2005 - 17:42
das war in der virus log info:
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Bolger.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File c:\windows\system32\yspvwca.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Bolger.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File c:\windows\system32\yspvwca.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\yatewtbvmwa.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Emanuel\LOKALE~1\Temp\10.tmp\thnall1ac.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Emanuel\LOKALE~1\TEMPOR~1\Content.IE5\7CTVGC7K\Poller[1].exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Emanuel\Lokale Einstellungen\Temp\10.tmp\thnall1ac.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Emanuel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CTVGC7K\Poller[1].exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010834.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010835.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010843.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010852.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010853.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010862.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010870.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\yatewtbvmwa.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1C854411.exe infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\38FC5B3C.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4F16646C.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4F1E5EDD.tmp infected by "IM-Worm.Win32.Sumom.a" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\50355330.exe infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\74F97EBB.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-2962750579-600270034-1228891502-1005\Dd12.zip infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
das andere logfile, welches man erstellen kann ist schweinisch lang :S
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Bolger.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File c:\windows\system32\yspvwca.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Bolger.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File c:\windows\system32\yspvwca.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\yatewtbvmwa.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Emanuel\LOKALE~1\Temp\10.tmp\thnall1ac.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Emanuel\LOKALE~1\TEMPOR~1\Content.IE5\7CTVGC7K\Poller[1].exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Emanuel\Lokale Einstellungen\Temp\10.tmp\thnall1ac.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Emanuel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CTVGC7K\Poller[1].exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010834.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010835.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010843.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010852.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010853.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010862.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{88D7235B-8327-49F7-87CD-58EA7235EDC9}\RP130\A0010870.exe infected by "Trojan.Win32.Agent.cp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\yatewtbvmwa.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1C854411.exe infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\38FC5B3C.dll infected by "not-a-virus:AdWare.Beginto.c" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4F16646C.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4F1E5EDD.tmp infected by "IM-Worm.Win32.Sumom.a" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\50355330.exe infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\74F97EBB.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-2962750579-600270034-1228891502-1005\Dd12.zip infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
das andere logfile, welches man erstellen kann ist schweinisch lang :S
Dieser Beitrag wurde von MasterChiefDX bearbeitet: 24. April 2005 - 18:03
- ← Bluescreen Beim Boot
- Windows XP & Windows Media Center Edition
- Frage: Recovery Version Weiterhin Verwenden?! →
