Ordner nicht Löschbar! - Virus?

von **Maldoror** am 31.12.2004, 22:09

Hallo...

Ich fürchte ich brauche wieder etwas Hilfe hier.

Ich hab nen Ordner entzippt und nun lässt der sich nicht mehr löschen, weil er Schreibgeschützt ist und der Schreibschutz sich nicht aufheben lässt.

Ich habe zwar den Inhalt löschen können, nicht aber den Ordner selber. Genauer gesagt ein Ordner und ein Unterordner sind das.

Versteckte Dateien werden nicht angezeigt aber es heisst ständig das der Ordner anderweitig verwendet wird.

LG und dank im Voraus
Michael

PS: Antivir fand einen HTML Scriptvirus, ich bin auf Löschen gegangen aber der Schreibschutz der Ordner lässt sich immer noch nicht ausschalten.

von **wooxme** am 01.01.2005, 10:06

was ist das für ein ordner. mach mal ein paar angaben.

von **Maldoror** am 01.01.2005, 11:23

wooxme hat geschrieben:was ist das für ein ordner. mach mal ein paar angaben.

Sorry hab da noch so einiges versucht und nach nem Neustart den ordner doch noch gelöscht bekommen.
Wäre nur noch die Frage ob das Problem damit gelöst ist
das hijack macht folgende Angaben:

Logfile of HijackThis v1.98.2
Scan saved at 10:20:24, on 01.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\refreshlock\RefreshLock.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\eMule.de\emule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Privat\Programmdateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [RefreshLock] C:\Programme\refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9253427559
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://mariohh1.mysmcrouter.com:83/acti ... ontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EB94131-E336-4895-8F91-1EC4B5A83F9E}: NameServer = 213.191.92.87 213.191.74.18

Komischerweise sollte das log erst m ordner RECYCLER gespeichert werden unter einer Datei namens:

S-1-5-21-1645522239-789336058-1060284298-1004

So eine hatte ich schon mal darin.
Das Tool mit dem ich die gelöscht hatte (weiss nicht mehr wie das hies) ist leider abgelaufen (30 Tage Testversion oder so).
Ich hatte das gestern deswegen gelöscht

Dank und Gruss und frohes neues Jahr
Michael :wink:

von **Nikita** am 01.01.2005, 14:20

Hallo@Maldoror

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

pc neustarten...gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

Deinstalliere schleunigst den C:\Programme\MSN Apps (bringt nur probleme)

--------------------------------------------------------------------------------------

gehe wieder in den Normalmodus

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

dann, wieder im Normalmodus, poste mir die infizierten Dateien, danach loesche sie mit der killbox (wie im Thread erklaert)

von **Maldoror** am 01.01.2005, 17:14

nikita hat geschrieben:Hallo@Maldoror

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

pc neustarten...

erledigt

gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

Deinstalliere schleunigst den C:\Programme\MSN Apps (bringt nur probleme)

Hab kein deinstall-Menue gefunden und deshalb den Ordner im abgesicherten Modus manuel aus dem ProgrammeOrdner gelöscht.
Wo kommt das Programm her?
Wird das mit dem MSN Messenger geliefert?
Sollte man den Messenger mitdeinstalieren?

gehe wieder in den Normalmodus

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
erstelle den Ordner c:\bases .

Den ordner gab es schon

mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen.

WinZip hat die irgendwo automatisch unter Dokumente gespeichert oder so.
Hab die dann nochmal mit Winrar entpackt und siehe da es hat funktioniert, kann nur sein das ich die zweimal auf dem PC habe [/quote]

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Soweit OK

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

dann, wieder im Normalmodus, poste mir die infizierten Dateien, danach loesche sie mit der killbox (wie im Thread erklaert)

Ich mach das morgen denn ich hab heute dafür keine Zeit mehr.
Was ich datan nicht verstanden habe ist was du mit Killbox meinst?
In diesem Thread wird das Wort "Killbox" nirgends erwähnt.
Bitte erklär mir das genauer... thx

MFG
Michael

von **Nikita** am 01.01.2005, 17:15

poste mir die infizierten Dateien, danach loesche sie mit der killbox

KillBox

http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/

den Pfad reinkopieren:

nur als Beispiel:
C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

von **Maldoror** am 02.01.2005, 13:12

nikita hat geschrieben:poste mir die infizierten Dateien, danach loesche sie mit der killbox

Guten Tag

Hier kommen die Meldungen des Virenscans.
Welche soll ich davon Löschen?:

1.Sat Jan 01 15:32:52 2005 => File C:\Programme\AVPersonal\INFECTED\ALAETRELT.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
2.Sat Jan 01 15:32:52 2005 => File C:\Programme\AVPersonal\INFECTED\WBKC5.TMP.VIR infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken.
3.Sat Jan 01 15:39:42 2005 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.01. No Action Taken.
4.Sun Jan 02 09:56:55 2005 => File C:\Programme\Spamihilator\recycle\2453372_160213_3b2b6.recycle infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
5.Sun Jan 02 09:56:55 2005 => File C:\Programme\Spamihilator\training\c1ca823.training infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
6.Sun Jan 02 10:21:43 2005 => File C:\Spiele\Quake III Arena\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
7.Sun Jan 02 10:22:45 2005 => File C:\Spiele\Quake III Arena\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
8.Sun Jan 02 10:42:14 2005 => File C:\Spiele\xQ3Mods\q3pointrelease_132.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
9.Sun Jan 02 10:46:07 2005 => File C:\Spiele\xQ3Mods\Western quake\wq3b1112.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
10.Sun Jan 02 10:46:16 2005 => File C:\Spiele\xQ3Mods\Western quake\wq3b11aas.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
11.Sun Jan 02 10:46:34 2005 => File C:\Spiele\xQ3Mods\Western quake\wq3b12full.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
12.Sun Jan 02 10:48:01 2005 => File C:\Spiele\xQ3Mods\wq3b1112.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
13.Sun Jan 02 10:48:05 2005 => File C:\Spiele\xQ3Mods\wq3b11aas.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
14.Sun Jan 02 10:48:24 2005 => File C:\Spiele\xQ3Mods\wq3b12full.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Gruss und Dank
Michael

von **Nikita** am 02.01.2005, 13:49

Hallo@Maldoror

das waere zu loeschen:

C:\Programme\Spamihilator\recycle\2453372_160213_3b2b6.recycle
C:\Programme\Spamihilator\training\c1ca823.training

Lade auch das Tool, gegen die Sober-Infektion ("I-Worm.Sober.i")
http://www.pctipp.ch/helpdesk/kummerkas ... /27544.asp

dann gebe mir bitte den genauen Pfad von dem Ordner, der schreibgeschuetzt ist (und ueber rechtsklick-->Eigenschaften--> kannst du auch sehen , wann der Ordner erstellt wurde und wozu er gehoert.

von **Maldoror** am 02.01.2005, 14:03

nikita hat geschrieben:Hallo@Maldoror

das waere zu loeschen:

C:\Programme\Spamihilator\recycle\2453372_160213_3b2b6.recycle
C:\Programme\Spamihilator\training\c1ca823.training

Lade auch das Tool, gegen die Sober-Infektion ("I-Worm.Sober.i")
http://www.pctipp.ch/helpdesk/kummerkas ... /27544.asp

dann gebe mir bitte den genauen Pfad von dem Ordner, der schreibgeschuetzt ist (und ueber rechtsklick-->Eigenschaften--> kannst du auch sehen , wann der Ordner erstellt wurde und wozu er gehoert.

OK Tool ist gedownloaded.

Hm...
Ich war leider etwas voreilig, hab die beiden Dateien im Spamhillator schon ge-killt und leider auch die beiden sober dateien im AV. Was nun?

Der Pfad im Recycler müsste dann:
C:\RECYCLER\S-1-5-21-1645522239-789336058-1060284298-1004
lauten.
Es handelt sich um einen ordner.

Bei Eigenschafften steht:
Erstellt Gestern, 1. Januar 2005, 17:37:58
Inhalt 2 Dateien.

EDIT: Die Dateien heissen "Desktop.ini" und "Info2"

Den anderen Ordner wegen dem ich diesen Thread eröffnet habe den habe ich schon selber gelöscht bekommen, nach einem Reboot

LG
Michael

von **Nikita** am 02.01.2005, 14:46

Hallo@Maldoror

ueber :
C:\RECYCLER\S-1-5-21-1645522239-789336058-1060284298-1004\Dc1.exe
hatten wir schon mal gesprochen (nicht wahr ? )

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/

das Tool verfuegt ueber einen Shredder -->versuch es damit
++++++++++++++++++++++++++++

das kannst du dann auch gleich noch mit abarbeiten
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

von **Maldoror** am 02.01.2005, 14:51

nikita hat geschrieben:ueber :

C:\RECYCLER\S-1-5-21-1645522239-789336058-1060284298-1004\Dc1.exe

hatten wir schon mal gesprochen (nicht wahr ? )

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/

das Tool verfuegt ueber einen Shredder -->versuch es damit
++++++++++++++++++++++++++++
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

Ja ich erinnere mich Vage...

Puh...
Ich hab 3 Extratage zum testen bekommen aber ab morgen kann ich es nicht mehr verwenden, was dann?

Hat geklappt die Datei ist weg!

Danke schön.

Sind wir jetzt fertig oder gibts noch was zu beachten?

Mir kommt das alles etwas verworren vor weil ich den "msn app"
was immer der auch macht oder was das ist nur aus dem verzeichniss gelöscht nicht aber direkt instaliert habe und mich beschleicht immer das Gefühl als hätte ich an meinem Antivir rumgefuscht weil ich die beiden sober-dateien darin mit Kill gelöscht habe.

Wenn du mich in diesen Punkten noch beruhigen könntest... *g

LG und Dank
Michael

von **Nikita** am 02.01.2005, 17:44

deinstalliere den Antivirus und lade ihn neu

#Antivirus (free)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

von **Maldoror** am 02.01.2005, 17:51

nikita hat geschrieben:deinstalliere den Antivirus und lade ihn neu

#Antivirus (free)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

OK THX! und bis dann...

Ordner nicht Löschbar! - Virus?

Ordner nicht Löschbar! - Virus?

Ähnliche Themen

Wer ist online?