Kann Viren nicht löschen

Dieses Thema im Forum "Sicherheit" wurde erstellt von dt.racer, 21. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. dt.racer

    dt.racer ROM

    Registriert seit:
    21. Juli 2005
    Beiträge:
    3
    Hi erstmal,bin neu hier,und hab gleich mal ein Problem!

    Ich habe auf meinem PC ANTIVIR installiert.Nun habe ich eine Virensuche gestartet und etliche wurden gefunden.Alle wurden gelöscht bis auf zwei Trojaner,die wie mir Antivir mitteilte nach dem Neustart gelöscht werden.So Neustart gemacht,Antivir Guard bringt 2 Meldungen von den besagten Viren.
    Habe dann Versucht diese manuell zu löschen,dann kommt aber folgende Meldung : "Die datei wird von einem Programm oder anderen Person benutzt und kann nicht gelöscht werden!
    Bei den Prozessen ist sie auch nciht zu finden!

    Könnt ihr mir sagen wie ich die Dinger loswerde??

    Muss dazu sagen das ich von PCs keine große ahnung habe!

    Danke im Vorraus!
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Deaktiviere mal kurzfristig Antivir Guard, und versuche die Dateien dann zu löschen.
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstelle mal bitte ein hijackthis logfile und lass es auf www.hijackthis.de (dort gibts auch das Programm) auswerten, klicke auf "auswertung speichern" (ganz unten) und poste dann den Link hier her. Kannst du auch noch posten was für Viren AntiVir gelöscht hat?


    Grüße Jasager
     
  4. dt.racer

    dt.racer ROM

    Registriert seit:
    21. Juli 2005
    Beiträge:
    3
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    überprüfe mal bitte folgende Dateien hier :
    C:\Programme\msnpower\msnpower.exe
    C:\WINDOWS\image.exe
    C:\WINDOWS\Edit.exe
    C:\WINDOWS\System32\hwclock.exe


    Grüße Jasager
     
  6. dt.racer

    dt.racer ROM

    Registriert seit:
    21. Juli 2005
    Beiträge:
    3
    hi es wurde nix gefunden.aber die hwclock find ich nicht
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also wenn du dir sicher bist das die oben genannten Dateien okay sind, würde ich die von Antivir beanstandenden Dateien mit Hilfe der Hijackthis misc tool section "delete on reboot" löschen. Die hwclock Datei ist wohl nur noch mit ihrem Registryeintrg vorhanden, kannst du mit hijackthis (Haken dafor und auf fix checked) löschen.


    Grüße jasager
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    wie wurde nichts gefunden... die "image.exe" (C:\WINDOWS\image.exe) wird als Dienst gestartet (O23), das ist doch nicht normal.. zu welcher Software soll die gehören ??.

    Meiner Meinung nach könnte das ein Teil von diesem Backdoor-Trojaner sein:

    W32/Sdbot-AAQ
    http://www.sophos.de/virusinfo/analyses/w32sdbotaaq.html

    Wolfgang77
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hat AntiVir auch gemeldet, in welchem Verzeichnis er die Viren gefunden hat?

    Falls es das Verzeichnis System Volume Information ist, dann deaktiviere mal deine Systemtwiederherstellung und scanne nochmals mit AntiVir. Sollte AntiVir dann keine Viren mehr finden, kannst du die Systemwiederherstellung wieder aktivieren.

    Auf der nachfolgenden Seite wird erklärt, wie die Systemwiederherstellung deaktiviert wird:

    http://www.bsi.bund.de/av/texte/wiederher_xp.htm

    Warum hast du eigentlich das SP2 für WinXP noch nicht drauf?

    Gruß
    Nevok
     
  10. wegzeiger

    wegzeiger Kbyte

    Registriert seit:
    9. Mai 2005
    Beiträge:
    189
    Sofern du die Daten mit Namen kennst und auch den Standort, kannst du WIN im abgesicherten Modus starten (gleich beim WIN-Start F8 drücken), dann kannst du die Dateien manuell löschen.

    Erklärung: In diesem Modus wird quasi nur ein Kern von WIN geladen. es finden keine Zugriffe auf Daten statt. Somit kann auch keine Datei wegen Gebrauchs vor dem Zugriff gesperrt sein. Auf diese Weise bin ich auch mal solchen Mist losgeworden, den mir jemand anders "besorgt" hatte.

    Viel Erfolg gewünscht!

    dijkinga
     
  11. Bernie

    Bernie Byte

    Registriert seit:
    25. August 2000
    Beiträge:
    11
    Hallo,
    manch eines dieser netten "Tierchen" ist wirklich ziemlich perfide.
    Es werden dann Teile des Code ständig im Arbeitsspeicher gehalten.
    Wenn nun der Virenscanner das Dings entfernt, löscht er die Datei und meist auch den Eintrag in die Registry.
    Fährt man nun den PC normal runter, wird der Speicherinhalt auf Festplatte gespeichert. Es wird dann auch eine neue Virendatei (evtl mit anderem Namen) geschrieben und der Start-Eintrag in der Registry. Beim nächsten Neustart ist alles wieder da.
    Lösung:
    Dateiname und Pfad der vom Scanner gefundenen und angezeigten Dateien aufschreiben. PC abschalten (Stecker ziehen oder Kippschalter am Netzteil), dann kann nix mehr auf die Festplatte geschrieben werden.
    Da auch der abgesicherte Modus nicht in jedem Fall hilft, den PC mit einer Diskette booten und unter DOS die befallenen Dateien löschen.
    Nun kann wiedr normal gebootet werden und dann mit Regedit der Start-Eintrag entfernt werden.
    Ist vielleicht etwas umständlich, aber haut aber auf jeden Fall hin.

    Gruß Bernie
     
  12. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    @ Bernie

    Danke für diese erklärung, ich pinne sie mir an die Wand. :muhaha: :muhaha: :muhaha: :muhaha: :muhaha:
    :totlach: :totlach: :totlach: :totlach: :totlach:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen