Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kann .dll Datei nicht löschen (https://www.trojaner-board.de/26741-dll-datei-loeschen.html)

Deldok 11.02.2006 22:30
Kann .dll Datei nicht löschen
 
Hallo, bin neu hier im Forum und hoffentlich in der richtigen Untergruppe. Ich sitze jetzt nicht an dem betroffenen PC und schildere mein Problem daher ohne eine Hijack-Logdatei.
Es erscheint immer folgender Eintrag:

O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\g4jo0e13eh.dll

Dabei variiert der Eintrag immer, sowohl der Name der dll-Datei, wie auch der Begriff "Themes". Virenscanner erkennt keinen Virus, Ad-Aware beanstandet diese Datei, kann Sie aber (auch nach Neustart) nicht löschen. Die Datei kann nicht gelöscht werden, da laufender Prozess. Alles probiert, auch abgesicherter Modus pp. (BS: Win 2000, SP 4).
Auch das Löschen des entsprechenden Reg-Eintrages hilft nicht.
Hijack bekommt es auch nicht gefixt.
Wie kann ich den Prozess beenden und die Datei löschen. Im Taskmanager kann ich keinen unbekannten / auffälligen Prozess feststellen.
Vielen Dank für jede Hilfe!

BataAlexander 11.02.2006 23:55
Hallo,

poste ein HijackThis Logfile, Anleitung in meiner Signatur.

Gruß

Schrulli

Deldok 12.02.2006 00:03
Hallo Schrulli,

vielen Dank für deine schnelle Antwort. Wie schon gesagt, "leider" handelt es sich nicht um meinen PC. Er gehört meinem Bruder. Zu dem komme ich erst wieder übernächste Woche.
Ich habe das Logfile über das Internet auswerten lassen. Die Einträge werden entweder mit GUT bewertet oder mit UNBEKANNT. Die Unbekannten sind mir aber alle klar und unschädlich. Nur eben nicht die Zeile 020, die auch von Ad-Aware beanstandet wird.
Hast du so eine Idee? Ansonsten bitte nicht wundern, wenn das Logfile erst in 10 Tagen kommt.
Vielen Dank noch einmal!

Gruß

Rainer

BataAlexander 12.02.2006 00:14
Hallo,

Du kannst es mittels der Wiederherstellungskonsole ( XP CD Booten und Reparieren auswählen) versuchen.
Lösche diese Datei dann, es sieht aber mehr nach einer generischen Datei aus, also nicht nach dem eigentlichen Verursacher, ich kann den Stamm auch nicht finden. Jemand anders?
Kann Dein Bruder und das Log nicht schicken?

Gruß

Schrulli

Cidre 12.02.2006 00:38
Hallo Deldok,

versuche es mal mit dem Look2Me Remover V.1.2.0.

Poste danach zur Überprüfung das HJT Log-File.

Deldok 13.02.2006 12:58
Hier nun das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:35:15, on 10.02.06
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\PROMon.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
U:\FOBACKUP.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Norton\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [SfWinStartInfo] j:\sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138798077750
O17 - HKLM\System\CCS\Services\Tcpip\..\{26FC8A45-766E-450B-BDAF-1BEEB5099117}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABFA6076-F660-419B-8AEB-3C3A5CFD509B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF1A9A4D-6560-4BC6-BFA8-EEB1D57B510E}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{26FC8A45-766E-450B-BDAF-1BEEB5099117}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{26FC8A45-766E-450B-BDAF-1BEEB5099117}: NameServer = 194.25.2.129
O20 - Winlogon Notify: Telephony - C:\WINNT\system32\fp2q03f5e.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

Wie gesagt, die Zeile 020 macht definitiv Probleme. Der Rest? Ich weiß es nicht.
Vielen Dank.

Rainer

Wildone 13.02.2006 12:59
Hallo,
befolge den Ratschlag von Cidre, das ist definitiv look2me.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131