Die Dateien habe ich abgeschickt.
Löschen kann ich die aber nicht.
KillBox gibt die Meldung "PeningFile Rename Operations Registry Data has been Removed dy xternal Process!"
Ich weis nicht genau was das bedeutet, habe versucht Killbox neu zu downloaden, das Problem besteht aber immer noch. Was kann ich dann tun?

Führe diesesn Löschvorgang mit Killbox durch, wenn die Fehlermeldung erschienen ist, starte Windows selbst neu.

Poste dann das besagte erste datfind-LogFile.

Die Mail kam noch nicht an.
Versieh das Archiv bitte mit einem Passwort (Du kannst das bestehende Archiv abermals packen, dabei über das Packprogramm ein Passwort vergeben, z.B. virus. Versende den Anhang dann erneut.

ich habe Dateien nochmal versendet.
Löschung mit Killbox ist trotzdem unmöglich. Nach dem diese meldung erschien habe ich (einmal ohne und einmalh mit sie zu schließen) selber computer neugestartet. Es komm dann aber meldung von KilBox "Cannot qiet" die dann mit "Programm Sofort beenden" doch geschlossen wird. Die Dateien bleiben aber nach dem Neustarten da wo sie waren. Gibts es vielleich ein anderes Programm womit ich sie löschen könnte?

Ich danke dir vielmals für die Geduld und Hilfe
Tanja

Geht gleich weiter ...

1.) Lade Dir von hier dallater.zip.

2.) Speichere die Datei in den eigens dafür neu erstellten Ordner "dellater" unter C:\ ab, also im Ordner C:\dellater.

3.) Entpacke das zip-Archiv unmittelbar in diesem Ordner - darin muss sich danach auch die dellater.exe befinden.

4.) Klick nun unten in der Taskleiste auf "Start", dann "Ausführen".

5.) Gib in das Ausführen-Feld ein: cmd
Drück im Anschluss die Enter-Taste (oder Klick auf "OK", das kommt auf's Gleiche raus).

6.) Es öffnet sich ein schwarzes Eingabefenster mit blauem oberen Rand. Der Cursor darin blinkt hinter dem Benutzernamen, mit dem Du angemeldet bist. Sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Benutzername>
         

7.) Hinter der Spitzklammer gib ein:

Code: Alles auswählenAufklappen

ATTFilter

cd C:\dellater
         

Drück die Enter-Taste.

8.) Die Eingabe wechselt in die nächste Zeile zu:

Code: Alles auswählenAufklappen

ATTFilter

C:\dellater>
         

9.) Trage hinter der Spitzklammer ein:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\winhld32.dll
         

[Hinweis zur Orientierung: Die gesamte Zeile von links nach rechts sieht dann so aus:]

Code: Alles auswählenAufklappen

ATTFilter

C:\dellater>dellater.exe C:\WINDOWS\system32\winhld32.dll
         

Drücke sodann die Enter-Taste. Es erscheint daraufhin ein kleines Meldungsfenster mit dem Titel "File marked for deletion after reboot". Bestätige mit Klick auf "OK".

10.) Im schwarzen Eingabefenster steht der Cursor nun wieder hinter "C:\dellater>". Schreibe dahinter nun das:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\tttss.tmp
         

Bestätige wie gehabt mit Enter und OK.

11.) Gib wieder etwas hinter "C:\dellater>" ein, dieses Mal das:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\vtusqqn.dll
         

Und erneut Enter und OK.

12.) Jetzt trag dahinter ein:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\syswin6000.exe
         

Und abermals mit Enter und OK abschließen.

13.) Nun hinter der Spitzklammer eintragen:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\jkkjhgd.dll
         

Erneut mit Enter und OK abschließen.

14.) Dieses Mal ist dieser Eintrag dran:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\system32\ssttt.dll
         

Abermals Enter und OK.

15.) Abschließend dieser Eintrag:

Code: Alles auswählenAufklappen

ATTFilter

dellater.exe C:\WINDOWS\Temp\1438625.exe
         

Und noch ein letztes Mal Enter plus OK.

Schließ nun das schwarze Eingabefenster durch Klick auf das "X" oben rechts in der Fensterecke. Starte das System neu und poste ein neues erstes datfind-Logfile.

Habe alles so wie beschrieben gemacht, hier ist datfind-Logfile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 22:05 912.920 wybeg.ini
17.07.2007 22:02 355 rhieaook.ini
17.07.2007 22:02 88.566 nvapps.xml
17.07.2007 22:02 13.646 wpa.dbl
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe
17.07.2007 21:29 905.684 wybeg.bak2
17.07.2007 21:21 52.764 perfc009.dat
17.07.2007 21:21 380.350 perfh009.dat
17.07.2007 21:21 390.960 perfh007.dat
17.07.2007 21:21 63.576 perfc007.dat
17.07.2007 21:21 897.954 PerfStringBackup.INI
17.07.2007 07:50 6.369 wybeg.bak1
17.07.2007 07:50 266.336 gebyw.dll


Verzeichnis von C:\DOKUME~1\remik\LOKALE~1\Temp

17.07.2007 22:07 3.633 jusched.log
17.07.2007 18:55 1.460 dw.log
17.07.2007 18:16 16.384 ~DF6847.tmp
17.07.2007 17:58 16.384 ~DF16C1.tmp
17.07.2007 10:54 416 java_install_reg.log
17.07.2007 10:22 1.062 mad.gif
17.07.2007 10:22 1.060 icon8.gif
16.07.2007 19:56 32.768 ~DF25F2.tmp
16.07.2007 19:51 32.768 ~DF1E9B.tmp
16.07.2007 19:36 32.768 ~DF3818.tmp
16.07.2007 19:32 32.768 ~DF7FDB.tmp
16.07.2007 18:48 114.688 ~DF87B6.tmp


Verzeichnis von C:\WINDOWS

17.07.2007 22:04 3.221.196 ntbtlog.txt
17.07.2007 22:02 0 0.log
17.07.2007 22:01 157 wiadebug.log
17.07.2007 22:01 50 wiaservc.log
17.07.2007 22:01 2.048 bootstat.dat
17.07.2007 22:00 1.769.599 WindowsUpdate.log
17.07.2007 22:00 32.566 SchedLgU.Txt


Verzeichnis von C:\WINDOWS\Temp

17.07.2007 22:07 0 win118.tmp
17.07.2007 22:07 0 win11A.tmp
17.07.2007 22:07 0 win119.tmp
17.07.2007 22:07 0 win116.tmp
17.07.2007 22:07 0 win117.tmp
17.07.2007 22:05 0 win115.tmp
17.07.2007 22:05 0 win114.tmp
17.07.2007 22:05 0 win113.tmp
17.07.2007 22:05 0 win110.tmp
17.07.2007 22:05 0 win111.tmp
17.07.2007 22:03 0 win10F.tmp
17.07.2007 22:03 0 win10E.tmp
17.07.2007 22:03 0 win10D.tmp
17.07.2007 22:03 0 win10B.tmp
17.07.2007 22:03 0 win10C.tmp
17.07.2007 22:02 409 WGANotify.settings
17.07.2007 22:02 255 WGAErrLog.txt
17.07.2007 22:01 0 win109.tmp
17.07.2007 22:01 0 win10A.tmp
17.07.2007 22:01 0 win108.tmp
17.07.2007 22:01 0 win107.tmp
17.07.2007 22:01 0 win106.tmp
17.07.2007 14:17 0 win112.tmp
17.07.2007 13:55 0 win105.tmp
17.07.2007 13:53 1.315 win103.tmp
17.07.2007 13:53 0 win104.tmp
17.07.2007 13:51 0 win102.tmp
17.07.2007 13:51 0 win101.tmp
17.07.2007 13:51 0 winFF.tmp
17.07.2007 13:51 0 winFE.tmp
17.07.2007 13:51 0 winFD.tmp
17.07.2007 13:49 0 winFC.tmp
17.07.2007 13:49 0 winF1.tmp
17.07.2007 13:49 0 winF2.tmp
17.07.2007 13:49 0 winEF.tmp
17.07.2007 13:49 0 winF0.tmp
17.07.2007 13:47 0 winED.tmp
17.07.2007 13:47 0 winEC.tmp
17.07.2007 13:47 0 winEB.tmp
17.07.2007 13:47 0 winEA.tmp
17.07.2007 13:47 0 winE9.tmp
17.07.2007 11:19 0 win18F.tmp
17.07.2007 10:57 0 win131.tmp
17.07.2007 10:35 0 win100.tmp
17.07.2007 10:17 0 winFB.tmp
17.07.2007 10:17 0 winFA.tmp
17.07.2007 10:17 0 winF9.tmp
17.07.2007 10:17 0 winF8.tmp
17.07.2007 10:15 0 winF7.tmp
17.07.2007 10:15 0 winF6.tmp
17.07.2007 10:15 0 winF3.tmp
17.07.2007 10:15 0 winF4.tmp
17.07.2007 10:15 0 winF5.tmp
17.07.2007 09:26 0 winEE.tmp
17.07.2007 07:54 0 winE8.tmp
17.07.2007 07:52 0 winE7.tmp
17.07.2007 07:49 0 winE6.tmp
17.07.2007 07:47 0 winE5.tmp
17.07.2007 07:47 1.315 winE4.tmp
17.07.2007 07:45 0 winE3.tmp
17.07.2007 07:45 0 winE2.tmp
17.07.2007 07:45 0 winE0.tmp
17.07.2007 07:45 0 winDF.tmp
17.07.2007 07:45 0 winDE.tmp
16.07.2007 19:59 0 winDD.tmp
16.07.2007 19:55 0 winD4.tmp
16.07.2007 19:53 0 winDC.tmp
16.07.2007 19:52 0 winDB.tmp
16.07.2007 19:51 0 winD5.tmp
16.07.2007 19:50 0 winD3.tmp
16.07.2007 19:49 0 winD2.tmp
16.07.2007 19:48 0 winD1.tmp
16.07.2007 19:47 0 winD0.tmp
16.07.2007 19:43 1.315 winCA.tmp
16.07.2007 19:41 0 winC9.tmp
16.07.2007 19:41 0 winBD.tmp
16.07.2007 19:41 0 winBB.tmp
16.07.2007 19:41 0 winBC.tmp
16.07.2007 19:39 0 winBA.tmp
16.07.2007 19:39 0 winB9.tmp
16.07.2007 19:39 0 winB6.tmp
16.07.2007 19:39 0 winB5.tmp
16.07.2007 19:36 0 winB4.tmp
16.07.2007 19:36 0 winB2.tmp
16.07.2007 19:36 0 winB3.tmp
16.07.2007 19:36 0 winB1.tmp
16.07.2007 19:26 0 winB8.tmp
16.07.2007 19:04 0 winB0.tmp
16.07.2007 19:02 0 winAF.tmp
16.07.2007 19:00 0 winAD.tmp
16.07.2007 18:58 0 winAC.tmp
16.07.2007 18:56 0 winAB.tmp
16.07.2007 18:34 0 winAA.tmp
16.07.2007 18:33 0 winAE.tmp
16.07.2007 18:12 0 winA9.tmp
16.07.2007 18:11 0 winA7.tmp
16.07.2007 17:50 0 winA6.tmp
16.07.2007 17:48 0 winA5.tmp
16.07.2007 17:46 0 winA3.tmp
16.07.2007 17:44 0 winA2.tmp
16.07.2007 17:42 0 win9A.tmp
16.07.2007 17:35 0 winCE.tmp
16.07.2007 17:35 0 winCD.tmp
16.07.2007 17:35 0 winCC.tmp
16.07.2007 17:35 0 winCB.tmp
16.07.2007 17:21 0 winC8.tmp
16.07.2007 16:59 0 winA8.tmp
16.07.2007 16:39 0 winA4.tmp
16.07.2007 15:37 0 winA1.tmp
16.07.2007 15:35 0 winA0.tmp
16.07.2007 15:33 0 win9F.tmp
16.07.2007 15:33 0 win9E.tmp
16.07.2007 15:33 0 win9B.tmp
16.07.2007 15:33 0 win9C.tmp
16.07.2007 15:33 0 win9D.tmp
16.07.2007 15:31 0 win97.tmp
16.07.2007 15:31 0 win96.tmp
16.07.2007 15:31 0 win98.tmp
16.07.2007 15:31 0 win99.tmp
16.07.2007 15:31 0 win95.tmp
16.07.2007 15:30 0 win92.tmp
16.07.2007 15:30 0 win94.tmp
16.07.2007 15:30 0 win93.tmp
16.07.2007 15:30 0 win91.tmp
16.07.2007 15:30 0 win90.tmp
16.07.2007 15:29 0 win8F.tmp
16.07.2007 15:29 0 win8E.tmp
16.07.2007 15:29 0 win8C.tmp
16.07.2007 15:29 0 win8B.tmp
16.07.2007 15:29 0 win8A.tmp
16.07.2007 15:29 0 win81.tmp
16.07.2007 15:29 0 win89.tmp
16.07.2007 15:29 0 win88.tmp
16.07.2007 15:29 0 win80.tmp
16.07.2007 15:29 0 win76.tmp
16.07.2007 15:26 0 win7F.tmp
16.07.2007 15:26 0 win7E.tmp
16.07.2007 15:26 0 win7B.tmp
16.07.2007 15:26 0 win79.tmp
16.07.2007 15:26 0 win7A.tmp
16.07.2007 15:24 0 win75.tmp
16.07.2007 15:24 0 win74.tmp
16.07.2007 15:24 0 win72.tmp
16.07.2007 15:24 0 win70.tmp
16.07.2007 15:24 0 win71.tmp
16.07.2007 10:20 0 win87.tmp
16.07.2007 10:18 0 win7C.tmp
16.07.2007 10:16 0 win77.tmp
16.07.2007 10:14 0 win6F.tmp
16.07.2007 10:12 0 win6D.tmp
16.07.2007 08:54 0 win6C.tmp
16.07.2007 08:52 0 win66.tmp
16.07.2007 08:52 0 win6A.tmp
16.07.2007 08:52 0 win6B.tmp
16.07.2007 08:52 0 win68.tmp
16.07.2007 08:52 0 win69.tmp
16.07.2007 08:50 0 win63.tmp
16.07.2007 08:50 0 win64.tmp
16.07.2007 08:50 0 win60.tmp
16.07.2007 08:50 0 win62.tmp
16.07.2007 08:50 0 win61.tmp
16.07.2007 08:48 0 win5D.tmp
16.07.2007 08:48 0 win5E.tmp
16.07.2007 08:48 0 win5F.tmp
16.07.2007 08:48 0 win5C.tmp
16.07.2007 08:48 0 win5B.tmp
16.07.2007 08:46 0 win4A.tmp
16.07.2007 08:46 0 win13.tmp
16.07.2007 08:46 0 win12.tmp
16.07.2007 08:46 0 win5.tmp
16.07.2007 08:46 0 win4.tmp
16.07.2007 00:51 0 win37.tmp
16.07.2007 00:49 0 win1B.tmp
16.07.2007 00:47 0 win10.tmp
16.07.2007 00:45 0 winF.tmp
16.07.2007 00:43 0 winD.tmp
16.07.2007 00:21 0 win65.tmp


Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.05.2007 16:39 65 desktop.ini


Verzeichnis von C:\

17.07.2007 22:09 0 sys.txt
17.07.2007 22:09 539 down.txt
17.07.2007 22:08 13.745 tmp.txt
17.07.2007 22:08 15.716 system.txt
17.07.2007 22:07 4.066 systemtemp.txt
17.07.2007 22:05 119.596 system32.txt
17.07.2007 22:01 2.145.386.496 pagefile.sys
16.07.2007 19:57 11.231 VundoFix.txt

ich habe nur die Einträge von beiden letzten Tagen genommen

Bitte die dellater-Anleitung wieder bis Punkt 8 umsetzen.
Dann hinter der Spitzklammer dieses eintragen:

dellater.exe C:\WINDOWS\system32\kooaeihr.dll
Dann Enter und OK.

Dann das:
dellater.exe C:\WINDOWS\system32\ihrbtwgq.exe
Wieder Enter und OK.

Als nächstes das:
dellater.exe C:\WINDOWS\system32\gebyw.dll
Enter plus OK.

Nun dies:
dellater.exe C:\WINDOWS\system32\wybeg.bak1
Enter und OK.

Abschließend das:
dellater.exe C:\WINDOWS\system32\wybeg.bak2
Enter, OK.

Anschließend System neustarten, neues erstes Datfind-Logfile posten.

Sorry, vergessen:

Bitte für diese beiden Einträge nacheinander auch nochmal so verfahren wie gehabt (Dellater-Vorgehen):

dellater.exe C:\WINDOWS\system32\wybeg.ini
dellater.exe C:\WINDOWS\system32\rhieaook.ini

Trenne am besten während der oben geschildertern Maßnahmen die Internetverbindung!
Melde Dich nach dem Neustart - wie bereits geschrieben - mit dem neuen LogFile (datfind) hier.

Danach setze bitte das Folgende um:
SmitFraudFix

neue LogFile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 22:40 346 wybeg.ini
17.07.2007 22:39 295 rhieaook.ini
17.07.2007 22:39 88.566 nvapps.xml
17.07.2007 22:39 13.646 wpa.dbl
17.07.2007 22:35 390.960 perfh007.dat
17.07.2007 22:35 52.764 perfc009.dat
17.07.2007 22:35 380.350 perfh009.dat
17.07.2007 22:35 63.576 perfc007.dat
17.07.2007 22:35 897.954 PerfStringBackup.INI
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe

Bei dieser erheblichen Menge an Funden die die Onlinevirenscanner aufweisen (Insofern jene richtig sind) bringt doch die manuelle entfernung mit etwaigen tools und scanns nichts mehr, da sollte eine Neuaufsetzung erfolgen und dannach sollte das aktuellste Service-Pack installiert werden und das System mit den aktuellsten AV updates gesichert werden.


Es wäre sonst ein ziemlich langwieriger Prozess, dies alles manuell zu entfernen. Dazu kommt, dass man sich nicht sicher sein kann inwiefern und in welchen registry schlüsseln was und wieviele schädliche Einträge sind. Zwar kann man mit escan versuchen das Problem in den Griff zu bekommen, doch meiner Meinung nach bleibt dannach dennoch die Frage ob das System volkommen sicher ist.


Deshalb mein Rat: Setze dein System neu auf, aktuallisiere es durch das neueste Service-Pack und dessen updates die du auf der microsoft Seite finden kannst:

Service-Packs Aktuelle Updates


Lg Terayaki

ich habe SmitFraudFix auf infizierte Dateien suchen lassen. Was mache ich weiter? Reinigen mit SmitFraudFix?

um Neuaufsetzen komme ich sowieso nicht herum....das mache ich dann auch

Das beruhigt mich ja dann Es ist bei einer solchen Anzahl an Funden immer das beste und falls du ein oder mehrere Backdoors drauf hast ist es notwendig.

Nun gut dann will ich euer Programm nicht weiters stören


LG, Terayaki

Zitat:

Zitat von terayaki

Bei dieser erheblichen Menge an Funden die die Onlinevirenscanner aufweisen (Insofern jene richtig sind) bringt doch die manuelle entfernung mit etwaigen tools und scanns nichts mehr, da sollte eine Neuaufsetzung erfolgen und dannach sollte das aktuellste Service-Pack installiert werden und das System mit den aktuellsten AV updates gesichert werden.

Das ist mir auch klar - ich hatte darauf ja bereits hingewiesen. Allerdings ist es ebenso problematisch, wenn man sich über das infizierte System weiterhin zunächst Informationen aus dem Internet holt, während im Hintergrund fleißig Malware ihr Unwesen treibt. Insofern ist eine Ferndiagnose und "Onlinehilfe" mit einem infizierten System immer ein Drahtseilakt. Am allerbesten wäre es, das System würde sofort nach einer Infektion vom Internet getrennt werden. Dann aber wird es in der Regel kaum möglich sein, betroffene Nutzer aus der Ferne über das Internet "weiterzubetreuen".

Zitat:

Dazu kommt, dass man sich nicht sicher sein kann inwiefern und in welchen registry schlüsseln was und wieviele schädliche Einträge sind. Zwar kann man mit escan versuchen das Problem in den Griff zu bekommen, doch meiner Meinung nach bleibt dannach dennoch die Frage ob das System volkommen sicher ist.

Dem stimme zu, völlig richtig.