TR/Buddy-TR/Stervice-TR/Click.Age.DB.DLL
 

Hi all,

ich habe den auch- einen Trojaner Namens
TR/Buddy.F
(C:\WINDOWS\ETXEWOABAEC.EXE)
zusätzlich noch einen mit namen:
TR/Stervice.C
(C:\WINDOWS\SVCPROC.EXE) und
TR/Click.Age.DB.Dll
(C:\WINDOWS\SYSTEM32\DRPMON.DLL)
Manuell kann ich die Dateien nihct finden, d.h. der Pfad wird zwar angegeben, aber die datei gibt es seltsamerweise nicht...
Antivir läuft bei mir im Hintergrund, meldet die drei auch, sie können aber nicht entfernt werden, anscheinend gehören sie zu einem Programm, welches die beiden immer wieder installiert- zwischenzeiltich bekomme ich alle 2 sek. den Hinweis auf den Trojaner, löschen geht nicht.
Ad-Aware und Spybot und reg.cleaner hab ich ausgeführt, ohne erfolg.
Antivir findet beim normalen Virenscan nix.
HJT hab ich auch durchgeführt, einige gefährliche Proggis habe ich bereits entfernt, aus das brachte keinen Erfolg.
Zusätzlich poppen bei mir ständig Werbefenster auf, trotz Pop-Up Sperre, das sind so etwas größere Werbefenster, namens Seeve- keine Ahnung ob das zu den Trojanern gehört, oder noch was anderes sein könnte.

Hab bei der Forensuche schon jemanden gefunden, bei dem der Buddy in der Registry entfernt werden konnte, die da angegebenen Schritte halfen aber bei mir nicht.
Ich weiß nicht, ob ich genug Infos gepostet habe, wäre aber nett, wenn mir einer helfen könnte.

LG
Bloody

@bloodymary
Es gibt 2 Möglichkeiten:
1. Dateien kriegen nach dem Neubooten die anderen Namen.
2. Du suchst nicht ganz richtig:Dateien richtig suchen
Bitte Scan-Log hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.
Es gibt 2 Möglichkeiten:
1. Nich alle entfernt
2. Nicht alles entfernt
Öfters reicht es nicht , den Registry-Eintrag zu fixen. Es muss noch die Datei gelöscht werden.

Hier mal das HJT Logfile

Logfile of HijackThis v1.99.0
Scan saved at 12:18:05, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
c:\windows\system32\gcsjjm.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\QuickTime\qttask.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht****.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht****.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [***://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*ht****.yahoo.com[/url]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ugvillc] c:\windows\system32\gcsjjm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [u*l]****aolcc.aol.de/computercheckup/qdiagcc.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [****://software-dl.real.com/018f049977d5f752e922/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [***]h***://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093082887191[/url]
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE (file missing)

@bloodymary
HJT-Version ist längs veraltet. Bitte Log mit der aktuellen Version (www.hijackthis.de) erstellen.

ok- hab die neue Version runtergeladen ;) , hier das Loigfile dazu...



Logfile of HijackThis v1.99.1
Scan saved at 12:57:53, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\windows\system32\qqgpmte.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Virenprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iuumcoz] c:\windows\system32\qqgpmte.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/0...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1093082887191
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

@bloodymary
Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
SaferSurf ist IMHO unserios. Nutzung der Software auf eigene Gefahr
Bitte bei http://virusscan.jotti.org/ online scannen, ergebnis hier posten.
Ist es wirklich deine Startpage? Wenn nein - bitte fixen
Egal was für eine Datei ist es - im Startup muss sie nicht sein, also fixen.

Hi Rene-gad

Service Pack2 wird grad runtergeladen.
Safer Surf wird deinstalliert, aber:
*edit* Hab die Datei schon gefixt


Gruß
Bloody

@bloodymary
OK. Wenn du die datei finden kannst, kannst du sie auch löschen, ggf. im abgesicheten Modus.

Hallo Rene-gad,

habe jetzt SP2 installiert, c:\windows\system32\qqgpmte.exe wurde gelöscht, Safersurf wurde auch deinstalliert, Ad-Awarde hab ich nochmal laufen lassen,Antivir ausgeführt, konnte kein(!) Virus finden, die Trojaner-Warnungen bekomme ich aber immer noch.
Nu weiß ich auch nicht mehr weiter.

Gruß
Bloody

@ bloodymary

Poste nochmal ein aktuelle HJT Log-File und führe ebenfalls Silent Runners.vbs aus ->
Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File.

@bloodymary
Von wem?

@Cidre
hier das aktuelle Logfile
@Rene-gad
Antivir zeigt mir die Warnungen an, der Pfad(blablabla) ist der Trojaner sowieso, beim Antiviren-Scan wurden aber keine Viren gefunden..

Gruß
Bloody


Logfile of HijackThis v1.99.1
Scan saved at 18:50:49, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\windows\system32\ssghbg.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Dokumente und Einstellungen\****\Eigene Dateien\Virenprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://h**p://red.clientapps.yahoo.c.../www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iavjpxw] c:\windows\system32\ssghbg.exe
O4 - HKLM\..\Run: [ZyConfig] "C:\Programme\ZyConfig\ZyConfig.exe" -update
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/0...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1093082887191
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Und hier das Log von Silent Runners... ich hoffe, es hilft!
Greetz Bloody


"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"ZyConfig" = ""C:\Programme\ZyConfig\ZyConfig.exe" -update" [null data]
"vtrcbw" = "c:\windows\system32\qrjvlha.exe" ["TODO: <Company name>"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

@bloodymary
Lösche dann die Datei, die Antivir anzeigt ;).
Entweder machst du was falsch, oder ich bin so dämlich, dass die enfachsten Sachen nicht erklären kann :headbang:

Fixe bitte diese beiden Einträge.

Lösche diese beiden Dateien

Die 2. Datei kann uner einem anderen Namen nach dem Neustart auftauchen. Suche nach einem charekteristisch-komischen Namen, z.B. [iavjpxw], mach mal Google-Suche. Wenn du nirgends findest, dass diese Datei eine Windows-Datei ist, oder, u.U. gar nix findest - lösche sie (mit Killbox z.B.)

Ich weiß nicht, wie oft ich die bekloppte Datei bereits gelöscht hab- sie kommt immer wieder!!!!
Was kann man da denn falsch machen?
Also entweder bin ich zu blöd es zu erklären, oder ich weiß auch nicht:
Eben bekomme ich die meldung C:/Programme..etc.pp. ist der Trojaner TR/Stervice usw.usf.
ich klicke auf Datei löschen, datei wird entfernt, Keine 3 Sekunden später kommt de gleiche Warnung wieder das geht jetzt seit zwei Tagen so! Isch wär nomma bekloppt-Menno.
Und das nicht nur mit einem Trojaner, sondern gleich 3- naja, nicht kleckern, klotzen*g*
So, hab dann die datei manuell gesucht, rechtsklick-entfernen- Datei wird nict entfernt*grübel*
Antiviren Scan bei der Datei durchgeführt, zeigt AV mir die Datei als TR an und fragt, wie verfahren werden soll, ich klick natürlich: löschen, und AV sagt: Die Datei ist gelockt und kann nicht gelöscht werden, soll die Datei beim nächsten systemstart gerlöscht werden? Ich:Ja!
Reboot und was ist? Nach 5 min. ist diese Datei wieder da, unter dem gleichen namen- Ich dreh gleich durch....

Also, was nun?

*edit*Die beiden Einträge hab ich gefixt und die Dateien gelöscht.
**nochmal edit** die Datei Nail.exe lässt sich nicht löschen- sie ist zwar kurz weg, aber nach ca. 1 Sekunde wieder da*langsam verzweifle*
Greetz
Bloody

Nochmal Hallo,

ich danke euch für eure Hilfe, ich glaube/hoffe/denke ich hab die drei Plagegeister entfernt. Und zwar mit Microsoft AntiSpyware und Crap Cleaner.Ich hoffe zumindest, das sie jetzt weg sind, zumindest bekam ich seit dem keine Virenwarnung mehr :D
Für alle, die eben auch mit diesen Trojanern zu kämpfen haben, hier der Link zu den jeweiligen Free-Downloads
Microsoft AntiSpyware
CrapCleaner

Greetz
Bloody

@bloodymary
Wau!!! Vielen Dank! :daumenhoc

Nicht dafür ;) gern geschehen, dafür hab ich Euch ja auch genervt*ggg*

Greetz
Bloody

Hab das gleiche Problem.....
Kannst du mir vielleicht mal sagen wie du genau mit den Programmen vorgegangen bist? Ich habe mir auch die beiden Programme heruntergeladen und einen scan durchgeführt, wobei aber die (nervende Meldung) immer noch erscheint.

@r0n1n
Warum liest man nicht, was für ihn geschrieben wurde?
Bitte lesen und genau folgen.
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-board.de/showthread.php?t=17492
Falls du nicht klar kommst, öffne bitte einen neuen Thread.

Ich meinte dabei eigentlich diese beiden Programme, da er das Problem auch damit lösen konnte. Ich hab auch mit den Programmen versucht, die Dateine zu entfernen, jedoch macht AntiVir immer noch die gleiche Meldung wie zuvor. Deswegen wollte ich nur fragen, wie ich mit den Programmen genau vorgehen soll.

edit:/Ok
hat sich erledigt
@chaosman neuer thread eröffnet

@KRS96
eröffne bitte einen neuen thread

chaosman