Trojaner-Board - Ich habe einen Videoclip der sich nicht löschen lässt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ich habe einen Videoclip der sich nicht löschen lässt (https://www.trojaner-board.de/6846-habe-videoclip-loeschen-laesst.html)

Ich habe einen Videoclip der sich nicht löschen lässt

Dieses ist ein Hilfeschrei !

Ich habe einen Videoclip aus dem Netz geladen , als ich den Clip löschen wollte schrieb mir Windows "der Clip kann nicht gelöscht werden, da ein Programm oder eine Person auf meinen Rechner zugreift".
Dann fängt der Rechner an zu rattern, daß Windows Hauptbild bricht zusammen und baut sich ganz langsam Balken für Balken wieder auf.
Die Zugriffe auf meinen Rechner sind seit dem Explodiert.
Ich habe schon alles Versucht was mir Einfiel ,im gesicherten Modus zu löschen, alle Arten von Scan`s nichts !!!! :o(
Hat einer von euch einen Rat ???
Ich weiß nicht mehr was ich machen soll !!

Kann es sein, das dieser Clip eine Doppelendung a la ".mpg.exe" hat?

- björn

ja wenn ich das wüsste wenn ich zB. "Eigenschaften" anklicke passiert das selbe als wenn ich versuche den Clip zu löschen alles bricht zusammen !

Im Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> den Hack bei "Erweiterungen bei bekannten Dateitypen ausblenden" ausmachen

Lad dir mal HijackThis runter und mach ein Log und poste das mal hier. Ich denke das ist die einfachste Methode im moment.

- björn

hallo Björn,

hab jetzt das gemacht was Du geschrieben hast, Arbeitsplatz usw. aber ich kann "Eigenschaften" immer noch nicht öffnen!
Und könntest Du mir auch sagen wo ich das runter laden muß was Du geschrieben hast ?(ich sollte erwähnen, ich bin nicht gerade das CP Genie)

Mario
PS. vieleicht hilft Dir das, als letztes was ich lesen kann steht "audition2.avi"

@ hanter20

Nachdem du uns nicht gerade viele Informationen zu deinem System lieferst, können wir nur bedingt helfen!

Probier mal folgendes:
http://www.wintotal.de/Tipps/Eintrag...D=834&URBID=12

so habe Hijack This runter geladen und das gemacht was auf der Seite stand.
Wie geht es jetzt weiter ?
Löschen kann ich immer noch nicht !

mein system ist XP PRO

starte den pc im abgesicherten modus und mach mit deinem virenscanner einen fullscan. wird dir sowieso nciht erspart bleiben nehm ich an.
vorher:
schliese den browser jedenfalls mal jetzt, lösche temp.internetfiles incl.offlineinhalte...pc neustarten,

bzgl. HijackThis:
den log-bericht kannst du hier online in sekundenschnelle auswerten lassen: http://www.hijackthis.de/index.php

besten gruss
rock

ich war in Win total !
Für anfänger wie komme ich in "Registry"rein ?
Damit ich das versuchen kann was dort steht!

weiß jemand wo ich den Download für "W32/Gaobot.CR bekomme?

was heißt " GEFIXT" ?und wie macht man das ?

fixen heist den eintrag anhaken und auf fix-checked klicken.

aber wie gesagt, mit einem fullscan mit deinem virenscanner im abgesicherten modus wirst du schneller fertig und es kann am wenigsten schief gehen.
jeder virenscanner sollte gaobot varianten kennen.

besser wärs wenn du die systemwiederherstellung von XP deaktivierst und die interne firewall aktivierst. (sofern du keine andere hast) sonst nutzt dir das entfernen von gaobots auch nichts!
und unbedingt vorhandene sicherheitspatch über windows-update installieren die noch fehlen.

gruss
rock

edit: hier klicken für dein windows update:
http://v4.windowsupdate.microsoft.com/de/default.asp
weiters:
XP Firewall aktivieren:
http://www.microsoft.com/germany/ms/...windowsxp.mspx

hallo rock,

genau das was du jetzt beschrieben hast habe ich gestern den ganzen tag gemacht leider hat kein scan im abgesicherten modus was gebracht alle haben keine meldung gehabt !
und trotzdem lässt sich der sch... nicht löschen !
leider weiß ich nicht wie man das mit dem "registry" macht was vom win forum beschrieben wird !

Post doch mal das Logfile hier im Forum.
Ich habe irgendwie eine Vorahnung als wenn da ein Prozess läuft und du deswegen das ganze nicht löschen kannst.

Sag mal, sahst du die Dateiendungen der Dateien schon immer oder hast du .avi erst gesehen nachdem ich sagte du sollst die Dateiendungen mal einblenden lassen?

- björn

hallo lucky,

avi konnte ich lesen nachdem ich das gemacht habe was du gesagt hast !

@ hanter20
Sorry, aber deine Gedankengänge kann ich leider nicht nachvollziehen!

Zitat:

Für anfänger wie komme ich in "Registry"rein ?

Start -> Ausführen -> regedit eingeben und bestätigen

Zitat:

weiß jemand wo ich den Download für "W32/Gaobot.CR bekomme?

Ist nicht dein Ernst, oder? Du willst dir absichtlich einen Wurm mit Backdoor Funktionalität installieren?
oder
Ist dein System mit dem W32/Gaobot.CR kompromittiert?

Ps.
Wenn du mal dein Log-File posten würdest, wären wir schlauer!

@ rock

Zitat:

jeder virenscanner sollte gaobot varianten kennen.

Vielleicht, wenn Gaobot den Virenscanner nicht ausknipst.

longfile was heißt das ? sorry aber ich bin da nicht so firm drin !!!

Erstelle mit HiJackThis ein Log-File und poste es hier rein.

ich habe den hijack this gemacht und bei der auswertung stand das ich den virus w32/gaobot.cr haben könnte !
Und dann wollte ich wissen ob jemand ein Virenscan weiß der gaobot findet aber wie ich jetzt erfahren habe hätte mein antivir den w32/gaobot finden müssen!
sei nicht so streng das ist gar nicht so einfach für mich !;o)

ich hoffe du meinst das !!!

Logfile of HijackThis v1.98.2
Scan saved at 18:27:30, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\iMesh\Client\iMeshClient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Aron\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: iMesh.lnk = C:\Programme\iMesh\Client\iMeshClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8F8C1F-CDA8-449E-A9E5-D0CBFB1DF13B}: NameServer = 217.237.149.161 194.25.2.129

@ hanter 20

Ich bin nicht streng ;), ich konnte es beim besten Willen nicht erkennen.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Dein System ist nicht ausreichend gepatcht!
http://v4.windowsupdate.microsoft.com/de/default.asp

Wenn du diesen Prozess meinst:
C:\WINDOWS\system32\slserv.exe =>
slserv.exe System (system32) SmartLink User-Level Modem Service (SLService)

Aber du kannst zur Sicherheit diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
gegenprüfen und hier das Ergebnis posten.

Ps.
Ich halte nicht viel von der automatischen Log-Auswertung.

Edit:
Diesen Eintrag kannst du noch fixen:
R3 - Default URLSearchHook is missing

Wichtige Sicherheitsmaßnahmen für dich:
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- Dein System updaten und ständig aktuell halten http://v4.windowsupdate.microsoft.com/de/default.asp
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen

also die überprüfung ergab alles OK !

Hallo cidre,

ich war nochmal in ausführen ... drin und habe das gemacht was da auf der seite stand!

ICH KONNTE DEN VIDEOCLIP LÖSCHEN !!!!

ich bedanke mich bei allen die mir tips und adressen gegeben haben recht herzlich !!!!
es war sehr nett von euch mir gleich mit rat und tat zur seite zu stehen auch wenn ich nicht immer gleich alles verstanden habe was ihr mir geraten habt !
Nochmal DANKE für die ausdauer !!

ein schönes wochenende wünsche ich euch allen !!!

MfG Mario DANKE

jetzt habe ich doch noch eine frage !
wie fixe ich den eintrag : R3 - Default URLSearchHook is missing

Indem du einen Haken vor diesen Eintrag setzt und anschließend auf Fix Checked klickst.

Ps.
Vorher natürlich nochmal ein Log-File erstellen, dann kannst du obiges ausführen.

das steht aber immernoch drin ist das normal ?

Logfile of HijackThis v1.98.2
Scan saved at 18:27:30, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\iMesh\Client\iMeshClient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Aron\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: iMesh.lnk = C:\Programme\iMesh\Client\iMeshClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8F8C1F-CDA8-449E-A9E5-D0CBFB1DF13B}: NameServer = 217.237.149.161 194.25.2.129

Logfile of HijackThis v1.98.2
Scan saved at 20:22:52, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\iMesh\Client\iMeshClient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Aron\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: iMesh.lnk = C:\Programme\iMesh\Client\iMeshClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8F8C1F-CDA8-449E-A9E5-D0CBFB1DF13B}: NameServer = 217.237.149.161 194.25.2.129

ach so hab gerade gesehen ist der alte und der neue scan !!!

nochmal danke an alle !!!!