kann nicht löschen?????

Maldito · 29.11.2004, 20:05

hi all,

nachdem ich meinen PC mit HijackThis gescannt habe + alle von HijackThis als gefährlich bzw unbekannten einträge gefixt habe, bleibt nur noch das manuelle löschen folgender gefährlicher dateien übrig, dachte ich, mußte aber feststellen das diese sich nicht löschen ließen.

C:\Programme\Web_Rebates\WebRebates0.exe
C:\programm Files\Windows AdControl\WinAdCtl.exe
C:\WINNT\system32\srss32.exe
C:\Programme\Web_Rebates\WebRebates1.exe

wie bitte kann ich die genannten files löschen?

wer kann mir bitte helfen?

danke im voraus
gruß Maldito

PS.: hier noch mein neuster HijackThis log:
Logfile of HijackThis v1.98.2
Scan saved at 19:31:05, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe
C:\WINNT\system32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe
C:\WINNT\system32\lmhosts.exe
C:\WINNT\system32\srss32.exe
C:\WINNT\system32\internat.exe
C:\Programme\BTORadio\ps_agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe
C:\Programme\Gemeinsame Dateien\KAV Shared Files\avpupd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINNT\TEMP\steam.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Adobe] C:\WINNT\TEMP\zteam.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hansenet.de
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

Haui45 · 29.11.2004, 20:12

Zitat:

C:\WINNT\system32\srss32.exe

damit wäre ich ganz vorsichtig, da es sich mit ziemlicher Wahrscheinlichkeit um einen Trojaner mit Backdoorfunktionalität handelt ->http://www.trendmicro.com/vinfo/viru...ORM_AGOBOT.ABS
Daher wäre meiner Meinung nach ein erneutes Aufsetzen des Systems die beste Lösung ->http://www.trojaner-board.de/showpos...28&postcount=2
Scanne deinen PC bitte mit eScan im abgesicherten Modus und poste was gefunden wurde.

chaosman · 29.11.2004, 20:21

@Maldito
Haui45 hat recht.
alleine das hier, würde reichen um Neuaufsetzen zu empfehlen
Backdoor Routine

This worm also has backdoor capabilities. It comes with a built-in Internet Relay Chat (IRC) bot which allows it to connect to a specific IRC server. It then waits for commands from a remote user. Once connected, the remote user gains virtual control of the affected system. The remote user can then execute the following malicious actions:

* Add and Remove default network shares
* Add and remove services
* Add, remove, and view registry entries
* Change IRC server and channel where the malware connects to
* Delete files
* Download and execute files
* Emulate a proxy server
* Emulate an FTP server
* Enable DCOM protocol
* Flushes DNS cache
* Get system information such as CPU speed, free memory, uptime, free disk space
* Harvest email addresses from the Windows Address book and MSN cache
* List and terminate services and processes
* Logs keystrokes
* Obtain screenshots
* Redirect connections
* Scan local area network for listening ports

chaosman

Maldito · 29.11.2004, 20:39

hi all,

was bitte ist mit neu aufsetzen gemeint?

gruß Maldito

chaosman · 29.11.2004, 20:42

@Maldito
formatieren
hier ein paar tips

hier
chaosman

Haui45 · 29.11.2004, 20:44

Sorry hab ich wohl den Link vergessen

Danke chaosman

Maldito · 29.11.2004, 20:49

hi all,

dann werde ich wohl ein format C machen müßen, hatte es schon befürchtet.

vielen dank für eure hilfe

gruß Maldito

kann nicht löschen?????

Plagegeister aller Art und deren Bekämpfung: kann nicht löschen?????