Dumprep.exe - HILFE! nicht löschbar!

Darcson · 23.03.2005, 20:26

Guten Tag ,

Wie Der betreff schon erwähnt ich habe in meinen prozessoren einen " Dumprep.exe" laufen. Was ich unter Google so an Informationen gesammelt habe , verbreitet sich das "Angebliche" Virus durch MSN. Da ich ja selber MSN benutzte fürchte ich, das ich den virus auf meinem system habe.

Wenn ich Spybot durchlaufen lasse und etliche viren zu löschen , Kommt Eine Fehlermeldung , egal mit welchem programm , Ich hörte das versucht das "angebliche" Virus.

Nun Meine Frage...

Wie Lösche ich diesen Virus bzw. wie komm ich ran?

Hier mein Aktuelles HJG _ LOG:

Logfile of HijackThis v1.99.1
Scan saved at 20:27:46, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\rpcss_pl.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\r_server.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\windows\cexpt.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\SQZAE.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\about.htm
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\windows\System32\msasmsn7.dll (file missing)
O2 - BHO: (no name) - {18E789AB-C9C7-C1CA-2763-C95CD121BB5B} - (no file)
O2 - BHO: (no name) - {D9F75A71-C448-3BD9-8C94-7241EFE2EDBF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032805 serial=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [0CMAekdFp] C:\windows\cexpt.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Microsoft AntiSpyware helper - {C6870723-AF14-4E1C-8138-83992F3818C4} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C6870723-AF14-4E1C-8138-83992F3818C4} - (no file) (HKCU)
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D86F3BE8-6EA8-4AD7-B685-BCEC87B3A459}: NameServer = 192.168.0.1
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\g4jo0e13eh.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\windows\System32\rpcss_pl.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ich danke für Eure hilfe.

Darcson ( Leo )

Cidre · 23.03.2005, 20:41

Hallo,

Zitat:

ich habe in meinen prozessoren einen " Dumprep.exe" laufen.

Die dumprep.exe ist ansich nicht schädlich, siehe http://www.liutilities.com/products/...brary/dumprep/, aber Namen sind nun mal Schall und Rauch.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein System ist nicht up to date! Warum eigentlich?

Zitat:

C:\WINDOWS\System32\r_server.exe

Ist von Dir so gewollt?

Arbeite diesen beiden Links durch:
http://www.lavasoftsupport.com/index...howtopic=54511
http://www.bleepingcomputer.com/foru...tx13090-0.html

Darcson · 23.03.2005, 21:26

Hallo Cidre ,

Ja Das mit dem " R_Server " Ist Gewollt.

Ich habe auch jetzt mal geupdatet.

PS: Cidre ,ich kann kein Englisch , Diese Links Belaufen sich alle auf "englischer "sprache.

Cidre · 23.03.2005, 21:38

Überprüfe zunächst folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\windows\cexpt.exe
C:\windows\System32\rpcss_pl.exe

Darcson · 23.03.2005, 21:41

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run)
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

Ich mache gleich was du sagst , Guck mal ich bekomme diese meldung wenn ich HJG SCAN drücke.

Darcson · 23.03.2005, 21:45

Hallo ,

Bei Cexpt.exe kommt Das heraus

Auslastung: 0% 100%

Datei: cexpt.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden (0.39 Sekunden)
Avast Keine Viren gefunden (1.50 Sekunden)
AVG Antivirus Keine Viren gefunden (0.59 Sekunden)
BitDefender Keine Viren gefunden (0.54 Sekunden)
ClamAV Keine Viren gefunden (0.61 Sekunden)
Dr.Web Trojan.Isbar.214 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.10 Sekunden)
Fortinet Keine Viren gefunden (0.50 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.IstBar.ij (1.04 Sekunden)
mks_vir Trojan.Downloader.Istbar.Ij (0.26 Sekunden)
NOD32 Win32/TrojanDownloader.IstBar.gen (0.47 Sekunden)
Norman Virus Control Keine Viren gefunden (0.80 Sekunden)

-------------------------------------------------------

C:\windows\System32\rpcss_pl.exe

WEnn ich das eingebe , Kommt diese Meldung:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

23.03.2005, 21:38	#4
Cidre Administrator, a.D.	Dumprep.exe - HILFE! nicht löschbar! Überprüfe zunächst folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\windows\cexpt.exe C:\windows\System32\rpcss_pl.exe __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Dumprep.exe - HILFE! nicht löschbar!

Mülltonne: Dumprep.exe - HILFE! nicht löschbar!