Kann Viren nicht löschen

Hi erstmal,bin neu hier,und hab gleich mal ein Problem!

Ich habe auf meinem PC ANTIVIR installiert.Nun habe ich eine Virensuche gestartet und etliche wurden gefunden.Alle wurden gelöscht bis auf zwei Trojaner,die wie mir Antivir mitteilte nach dem Neustart gelöscht werden.So Neustart gemacht,Antivir Guard bringt 2 Meldungen von den besagten Viren.
Habe dann Versucht diese manuell zu löschen,dann kommt aber folgende Meldung : "Die datei wird von einem Programm oder anderen Person benutzt und kann nicht gelöscht werden!
Bei den Prozessen ist sie auch nciht zu finden!

Könnt ihr mir sagen wie ich die Dinger loswerde??

Muss dazu sagen das ich von PCs keine große ahnung habe!

Danke im Vorraus!

 

Deaktiviere mal kurzfristig Antivir Guard, und versuche die Dateien dann zu löschen.

 

Hallo,
erstelle mal bitte ein hijackthis logfile und lass es auf www.hijackthis.de (dort gibts auch das Programm) auswerten, klicke auf "auswertung speichern" (ganz unten) und poste dann den Link hier her. Kannst du auch noch posten was für Viren AntiVir gelöscht hat?


Grüße Jasager

 

hier das Log file http://www.hijackthis.de/logfiles/040d830ac7d68e82cc07e72a7b16a6ec.html

Hab den Virenguard eh ausgeschaltet weil die Meldung immer wieder kommt.
Hab auch probiert zu löschen,geht nicht!
Was Antivir sonst noch gelöscht hat weiß ich nicht.

 

Hallo,
überprüfe mal bitte folgende Dateien hier :
C:\Programme\msnpower\msnpower.exe
C:\WINDOWS\image.exe
C:\WINDOWS\Edit.exe
C:\WINDOWS\System32\hwclock.exe


Grüße Jasager

 

hi es wurde nix gefunden.aber die hwclock find ich nicht

 

Hallo,
also wenn du dir sicher bist das die oben genannten Dateien okay sind, würde ich die von Antivir beanstandenden Dateien mit Hilfe der Hijackthis misc tool section "delete on reboot" löschen. Die hwclock Datei ist wohl nur noch mit ihrem Registryeintrg vorhanden, kannst du mit hijackthis (Haken dafor und auf fix checked) löschen.


Grüße jasager

 

Hallo,

wie wurde nichts gefunden... die "image.exe" (C:\WINDOWS\image.exe) wird als Dienst gestartet (O23), das ist doch nicht normal.. zu welcher Software soll die gehören ??.

Meiner Meinung nach könnte das ein Teil von diesem Backdoor-Trojaner sein:

W32/Sdbot-AAQ
http://www.sophos.de/virusinfo/analyses/w32sdbotaaq.html

Wolfgang77

 

Hat AntiVir auch gemeldet, in welchem Verzeichnis er die Viren gefunden hat?

Falls es das Verzeichnis System Volume Information ist, dann deaktiviere mal deine Systemtwiederherstellung und scanne nochmals mit AntiVir. Sollte AntiVir dann keine Viren mehr finden, kannst du die Systemwiederherstellung wieder aktivieren.

Auf der nachfolgenden Seite wird erklärt, wie die Systemwiederherstellung deaktiviert wird:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Warum hast du eigentlich das SP2 für WinXP noch nicht drauf?

Gruß
Nevok

 

Sofern du die Daten mit Namen kennst und auch den Standort, kannst du WIN im abgesicherten Modus starten (gleich beim WIN-Start F8 drücken), dann kannst du die Dateien manuell löschen.

Erklärung: In diesem Modus wird quasi nur ein Kern von WIN geladen. es finden keine Zugriffe auf Daten statt. Somit kann auch keine Datei wegen Gebrauchs vor dem Zugriff gesperrt sein. Auf diese Weise bin ich auch mal solchen Mist losgeworden, den mir jemand anders "besorgt" hatte.

Viel Erfolg gewünscht!

dijkinga

 

Hallo,
manch eines dieser netten "Tierchen" ist wirklich ziemlich perfide.
Es werden dann Teile des Code ständig im Arbeitsspeicher gehalten.
Wenn nun der Virenscanner das Dings entfernt, löscht er die Datei und meist auch den Eintrag in die Registry.
Fährt man nun den PC normal runter, wird der Speicherinhalt auf Festplatte gespeichert. Es wird dann auch eine neue Virendatei (evtl mit anderem Namen) geschrieben und der Start-Eintrag in der Registry. Beim nächsten Neustart ist alles wieder da.
Lösung:
Dateiname und Pfad der vom Scanner gefundenen und angezeigten Dateien aufschreiben. PC abschalten (Stecker ziehen oder Kippschalter am Netzteil), dann kann nix mehr auf die Festplatte geschrieben werden.
Da auch der abgesicherte Modus nicht in jedem Fall hilft, den PC mit einer Diskette booten und unter DOS die befallenen Dateien löschen.
Nun kann wiedr normal gebootet werden und dann mit Regedit der Start-Eintrag entfernt werden.
Ist vielleicht etwas umständlich, aber haut aber auf jeden Fall hin.

Gruß Bernie

 

@ Bernie

Danke für diese erklärung, ich pinne sie mir an die Wand.