Geld für Ihre Startseite!

joschilein · 03.02.2008, 13:16:18

Nach jedem Systemstart (XP) laufen gewisse Dinge im windows\system32 Ordner ab:

mdelk.exe erscheint
Unterordner down mit zufällig nummerierten exe-Dateien, die sich in regelmäßigen Abständen vermehren.

Alles lässt sich relativ leicht löschen.. bis zum nächsten Systemstart
Zusätzlich zeigt eine Spyware Terminator Meldung, dass windows\wintems.exe geblockt wird, die allerdings nicht existiert.
Spyware Terminator findet bei Suchläufen auch entsprechendes, findet also u.a. wintems.exe, kann sie aber nicht löschen bzw. nicht anfassen.

Es treten zusätzlich andere Erscheinungen auf, die sicherlich damit zusammen hängen.

Systemwiederherstellung kann nicht durchgeführt werden (immer ohne Ergebnis)
Hijackthis lässt sich nicht starten (*)
Sophos Anti-Rootkit lässt sich nicht starten (*)
Spybot S&D lässt sich nicht starten (*)
Er scheint immer mal wieder auf einem laufenden Prozess zu reiten, plötzlich hat z.B. feedreader.exe 60% CPU-Last, wird dieser gestoppt, ist es wieder irgend ein anderer Prozess.
In der Registry ist bei den Startordner neben den üblichen Run, RunOnce usw. auch ein leerer "Run-" Ordner zu finden.

(*) Meldung "... ist keine zulässige Win32-Anwendung", auch nach neuem Download keine Veränderung

Ich fürchte fast, da werde ich um eine Systemneuinstallation nicht herum kommen

LasMiranda · 03.02.2008, 13:24:58

Hijackthis mal in kjdfhgksfhg oder sowas umbenennen und nochmals versuchen zu starten.

Totte · 03.02.2008, 13:28:52

RUN- ist normal, da kommen die deaktivierten Sachen rein, wenn man bei msconfig welche abschaltet

joschilein · 03.02.2008, 17:20:25

Das mit dem Umbenennen hatte ich schon versucht und funktioniert leider auch dann nicht, wenn die Datei in einem nicht auf den Namen hindeutenden Ordner gespeichert ist

joschilein · 04.02.2008, 22:41:55

Ich habe mir heute eine Knoppix-DVD gemacht und versucht damit etwas auszurichten, aber meine sehr spärlichen Linux-Kenntnisse lassen mich dann doch etwas im Stich.

Zwar konnte im Dateisystem auch auf meine Hauptplatte zugreifen und so u.a. feststellen, dass wintems.exe tatsächlich im system32 Ordner vorhanden ist, leider konnte ich aber weder diese noch irgendeine andere Datei löschen. Entweder kann sie über XP nicht gesehen werden, oder sie löscht sich beim Systemstart quasi selbst bzw. wird vom Spyware-Terminator gelöscht, hat dann aber schon die Arbeit für diese "Runde" getan.

Ich habe auch versucht die Unix-Version vom Antivir zum laufen zu bringen (wahlweise auch irgendeinen anderen Virenscanner). Installation bekomme ich aber nicht hin und vorinstalliert scheint nichts zu sein. Zwar ist irgendwo in der Paketverwaltung clamav aufgeführt, aber ich schaffe es nicht das auszuführen.

03.02.2008, 13:16:18	#1 (permalink)
joschilein Multitalent ID: 9301 Lose-Remote Reg: 05.05.2006 Beiträge: 1.414	Bagle-AS Nach jedem Systemstart (XP) laufen gewisse Dinge im windows\system32 Ordner ab: mdelk.exe erscheint Unterordner down mit zufällig nummerierten exe-Dateien, die sich in regelmäßigen Abständen vermehren. Alles lässt sich relativ leicht löschen.. bis zum nächsten Systemstart Zusätzlich zeigt eine Spyware Terminator Meldung, dass windows\wintems.exe geblockt wird, die allerdings nicht existiert. Spyware Terminator findet bei Suchläufen auch entsprechendes, findet also u.a. wintems.exe, kann sie aber nicht löschen bzw. nicht anfassen. Es treten zusätzlich andere Erscheinungen auf, die sicherlich damit zusammen hängen. Systemwiederherstellung kann nicht durchgeführt werden (immer ohne Ergebnis) Hijackthis lässt sich nicht starten () Sophos Anti-Rootkit lässt sich nicht starten () Spybot S&D lässt sich nicht starten () Er scheint immer mal wieder auf einem laufenden Prozess zu reiten, plötzlich hat z.B. feedreader.exe 60% CPU-Last, wird dieser gestoppt, ist es wieder irgend ein anderer Prozess. In der Registry ist bei den Startordner neben den üblichen Run, RunOnce usw. auch ein leerer "Run-" Ordner zu finden. () Meldung "... ist keine zulässige Win32-Anwendung", auch nach neuem Download keine Veränderung Ich fürchte fast, da werde ich um eine Systemneuinstallation nicht herum kommen Heute schon gepixelt

03.02.2008, 13:24:58	#2 (permalink)
LasMiranda kanz pöhse ID: 28058 Lose-Remote Reg: 05.05.2006 Beiträge: 2.897	Hijackthis mal in kjdfhgksfhg oder sowas umbenennen und nochmals versuchen zu starten. Gruß, Martin Losekredite/-anleihen: 0,7%-0,9%/Tag Deppenapostroph? CD's, DVD's, Mehrzahl und Genitiv ohne Apostroph Deppenleerzeichen? Service Gebühr, Lose Seite, ... zusammenhängende Worte auch zusammenschreiben, also Loseseite, Servicegebühr oder mit - trennen totaler Schrott? AGB's - Grund: laut Duden ist AGB schon die Mehrzahl + Deppenapostroph

03.02.2008, 13:28:52	#3 (permalink)
Totte MØþ€®@¶øℜ ID: 67388 Lose-Remote Abwesend Reg: 20.04.2006 Beiträge: 45.934	RUN- ist normal, da kommen die deaktivierten Sachen rein, wenn man bei msconfig welche abschaltet Forummitarbeiter - Manual by Cybo ausschließlich in der Modsprechstunde erreichbar The only easy day was yesterday

03.02.2008, 17:20:25	#4 (permalink)
joschilein Multitalent ID: 9301 Lose-Remote Reg: 05.05.2006 Beiträge: 1.414	Das mit dem Umbenennen hatte ich schon versucht und funktioniert leider auch dann nicht, wenn die Datei in einem nicht auf den Namen hindeutenden Ordner gespeichert ist Heute schon gepixelt

04.02.2008, 22:41:55	#5 (permalink)
joschilein Multitalent ID: 9301 Lose-Remote Reg: 05.05.2006 Beiträge: 1.414	Ich habe mir heute eine Knoppix-DVD gemacht und versucht damit etwas auszurichten, aber meine sehr spärlichen Linux-Kenntnisse lassen mich dann doch etwas im Stich. Zwar konnte im Dateisystem auch auf meine Hauptplatte zugreifen und so u.a. feststellen, dass wintems.exe tatsächlich im system32 Ordner vorhanden ist, leider konnte ich aber weder diese noch irgendeine andere Datei löschen. Entweder kann sie über XP nicht gesehen werden, oder sie löscht sich beim Systemstart quasi selbst bzw. wird vom Spyware-Terminator gelöscht, hat dann aber schon die Arbeit für diese "Runde" getan. Ich habe auch versucht die Unix-Version vom Antivir zum laufen zu bringen (wahlweise auch irgendeinen anderen Virenscanner). Installation bekomme ich aber nicht hin und vorinstalliert scheint nichts zu sein. Zwar ist irgendwo in der Paketverwaltung clamav aufgeführt, aber ich schaffe es nicht das auszuführen. Heute schon gepixelt

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln