Hi erstmal,

Derzeit habe Ich ein paar datein im Windowsordner die nicht löschbar sind, auch nicht über DOS-Eingabeanforderung.
Hab irgendwie den Verdacht, dass diese Exedateien durch irgendeine Aktion des IE sich inform eines Dialers extrahieren. Ein Dialer wird erstellt der unter der Zieldatei iexplore.exe läuft.

Name der files die ich nicht identivizieren konnte waren: dial32.exe, dkdial.exe und 2 andere die man durch beendigung verschiedener Prozesse löschen konnte.

Die Prozesse dieser datein laufen wahrscheinlich unter svchost. (so vermute ich sonst hätte ich sie gefunden)Ein Hijackthislog posten bringt nix.

Nun natürlich die Frage die sich daraus ergibt: Wie bekomm Ich die weg oder mehr info darüber was die zwei machen?

Danke schonmal im voraus. [img]graemlins/daumenhoch.gif[/img]

welches betriebsystem hast du denn eigentlich?

erkennt dein virenscanner auch was, oder musst du alles manuell machen?

schlies mal den browser und lösche die temp.internetfiles incl. offlineinhalte!

und wieso willst du keinen log von HijackThis posten? da seh'n wir ja schneller was alles los ist.

gruss
rock

dkdial.exe wird u.a. als name einer greatsearch.biz variante verwendet
auch wenn dieser prozess einen dienst über die svchost.exe initialisiert kann man dies beim nächsten systemstart verhindern, durch löschen des start aufrufes in der registry
und imho sollte man diesen mit HJT sehen können ...

wo ist also dein problem mit HJT wie rock schon gesagt hat wir sehn schneller was los ist [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von rock':
welches betriebsystem hast du denn eigentlich?

erkennt dein virenscanner auch was, oder musst du alles manuell machen?

schlies mal den browser und lösche die temp.internetfiles incl. offlineinhalte!
</font>[/QUOTE]System läuft mit WinXP.
Ich lösche die offl.-Inhalte immer, bringt nix.

Das einzige was HJT mir anzeigt von dem ich nicht sicher bin was es ist, ist sstray und die anderen 2.

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\sstray.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Proggies\Winamp3\winampa.exe
C:\Proggies\ZONEAL~1\zlclient.exe
C:\Proggies\The Cleaner\tca.exe
C:\Proggies\Word\Office\OSA.EXE
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\wuauclt.exe (dient soweit ich weiß für Systemupdates)
D:\WINDOWS\system32\ntvdm.exe (würd gern wissen was das macht)
C:\PROGGIES\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\WINDOWS\explorer.exe
C:\proggies\Word\Office\Winword.exe
C:\Proggies\BSPlayer\bplay.exe
D:\Programme\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Proggies\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Proggies\ZONEAL~1\zlclient.exe
O4 - Global Startup: Office-Start.lnk = C:\Proggies\Word\Office\OSA.EXE
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)

sollten alles clean files sein kannst sie ja mal scannen

hier zu dem ntvdm :

http://www.liutilities.com/products/...library/ntvdm/

betreffend der beiden dateien
f8 boot abgesicherter modus löschen probieren