#1 16. August 2006 Hab seit ca. letzem Wochenden einen neuen Virus der zwar von Kaspersky erkannt wird aber nich gelöscht werden kann. Der hat sich meines Erachtens in diesen zwei Programmen eingenistet: C:\WINDOWS\system32 {bild-down: http://img193.imageshack.us/img193/8463/unbenannt1yy1.jpg} Wenn ich versuche diese zu löschen kreieren sie sich kurz darauf wieder selbst. Wenn ich zwei verschieden "*.exe" nehme und sie in "drwatson.exe" und "drwtsn32.exe" umbennene und dann auch noch noch den Schreibschutz aktiviere werden diese beiden fake Dateien trotzdem gelöscht und die "originalen" Dateien kommen wieder. Dieser Virus macht sich soweit bemerkbar, dass er sich wie schon oben erwähnt nicht löschen lässt und einfach willkürlich meinen Rechner bzw. Programme abschmieren lässt. Ein Beispiel: Ich sitze am Rechner und ahne nichts böses...plötzlich zeigt mir Windows an, dass "drwatson.exe" ein Problem festgestellt hat und beendet werden muss. Sobald diese Fehlermeldung erscheint reißt es alle anderen größeren Anwendungen wie z.B. FireFox, die Systemsteuerung, Spiele etc. mit in den Abgrund und ich darf den Rechner neu starten. Manchmal startet er auch einfach so neu ohne mir was zu sagen. Nach diesem ganzen hin und her bin ich irgendwie auf den Trichter gekommen, dass es ja dieser neue Virus sein könnte der sich durch eine Lücke im Serverprotokoll zutritt verschafft. Also alle Daten gesichert und formatiert. Dann den Hotfix und alle möglichen Updates installiert bevor ich wieder ins Internet gegangen bin und siehe da, der Virus ist schon wieder da. Ich vermute stark, dass es da einen Ableger auf meiner Stuff Platte gab die ich ja schlecht formatieren kann. Wenn jetzt noch irgendeiner durchblicken sollte wäre ich höchst erfreut wenn mit dieser Jemand helfen könnte. MfG mAZTA
#3 16. August 2006 hast du norton oder kaspersky drauf... wird damit schon gehen damit bekomm ich alles weg... mfg m0n!z0r
#4 16. August 2006 geniale antwort. hilft ihm bestimmt. starte doch mal im abgesicherten modus und scann da doch mal deine gesamte festplatte? oder scann doch mal deine stuff hdd, irgendwo da muss der virus ja dann auch sein..
#5 16. August 2006 @Rollover Is mir auch klar Aber irgendwie will ich den scheiß Virus wegbekommen, kotz auf Dauer echt an. @m0n!z0r Hab doch geschrieben, dass Kaspersky nichts gefunden hat. Habe es geschlagene 4 Stunden durchlaufen lassen und es nichts außer 21x Adware gefunden. @Sparx Habe den ganzen Rechner scannen lassen Und das mim Abgesicherten Modus, wie bekomm ich das hin?
#7 16. August 2006 hi, um drwatson zu deaktvieren, gehste in die registry (start,ausführen,-> regedit) -> HKEY_LOCAL_MACHINE \ SOFTWARE \Microsoft \ WindowsNT \ CurrentVersion und suchst nach dem schlüssel -> AeDebug wenne ihn wieder haben willst, dann geb bei ausführen -> drwtsn32 -i ein. zeig mal dein taskmgr. und wenn du schon dabei bist, wie heißt der virus?
#8 16. August 2006 Ok ende mit virus ist hier so hab mal gesucht nach dem programm versuchmal bitte dass hier: Hijackthis damit kann man fast jeden trojaner entledigen und somit mal auch BHO`s entfernen Wenns hilft würde ich mich freuen wenns nen 10 gibt was sagt dir den kaspersky??? für einen Namen zurzeit ist ja der Ciadoor in umlauf aso kann sein dass dein virus beim neustarten kriert lösch mal im windows-ordner alle servicepackuninstall ordner (sind versteckt) und dann im system32 ordner den ordner "dllcache" leeren nicht den ordner löschen weil windows chached datein um schneller zu booten kann sein dass sich dein virus da eingenisstet hat und immer durch windows wiederhergestellt wird. danach löscht du beide dateien im system32 ordner. klar windows wird nun sagen dass dateien fehlen aber klicke auf abrechen und deaktiviere drwatson in der registry ( link hat hier jemand gepostet )
#9 16. August 2006 RE: Ok ende mit virus ist hier wie schon geschreiben, hjt ogfile posten, Hijackthis Anleitung und die betroffenen dateien, (also diese beiden exe dateien bei jotti online malware scan testen lassen. ich gehe davon aus, dass die dateien KEIN virus sind, sondern dass du ein fehler in deiner hardware hast. aber warten wir zunächst mal die ersten ergebnisse ab. mfg
#10 16. August 2006 Zuletzt von einem Moderator bearbeitet: 15. April 2017 Hier mal der Log von Highjack-This und ein Scan von meinem Taskmanager. {bild-down: http://img361.imageshack.us/img361/7272/v1jp0.jpg} {img-src: //img217.imageshack.us/img217/4065/v2we2.jpg}
#11 16. August 2006 hab das ganze mal analysiert und die datei "~e5d141.tmp" ist möglicherweiße ein hinweiß, denn viren benutzen ganz oft den oder ähnliche datei-namen um sich zu tarnen. edit Security Task Manager: Windows 8, 7, XP Prozessviewer lass dir mal anzeigen, was der Security Task Manager sagt edit2 danach machste mal deine reg. sauber mit hilfe von ad-aware und spybot EDIT3 wie sagt denn dein kaspersky für nen virus-namen ????
#13 16. August 2006 Hier mal die Highjack Log Download offline!/ @Deluxe Kaspersky hat nichtmal einen Virus gefunden. Das war ja das Problem. Nur Adware die ich gelöscht habe.
#14 16. August 2006 der log ist doc hschon da.... sag doch einfach den namen des virus, dann kann ich dir VIEL eher helfen
#15 16. August 2006 also, bei mir war es auch so änlich,allerdings mit antivir-premium, er hat den virus zwar gelöscht, aber nach 2 min meldete er sich wieder. dann hab ich einfach neugestartet, und Spybot - Search & Destroy laufen lassen, er hat den virus auch gefunden, und in der regystri gelöscht, er hat mich noch extra hingewiesen, dass diese virus sich da und da befindet, und bei einem neustart kann er gelöscht werden, also, bevor du da selber in der reg was machst, lass mal das programm laufen, hat mir echt schon so oft geholfen
#16 16. August 2006 nochmal langsam: 1. deaktiviere den einttrag wie ich es oben beschrieben habe 2. mach den secruity task manager an 3. danach spybot + ad-aware 4. sag den verdammten namen ^^, sonst siehste mich in dem thread nie wieder
#18 16. August 2006 mache bei Hijackthis einen Haken vor ~e5d141.tmp ansonsten ist das Logfile okay. Schau mal nach, ob Du einen anderen Konflikt hast, ich denke nicht dass Du den neusten unbekanntesten Virus drauf hast. Hinweis: Viren und andere schädliche Dateien können sich als ~e5d141.tmp tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet.
#19 17. August 2006 Der Tipp mit der Registry scheint geholfen zu haben. Danke an Alle die mir geholfen haben, 10er sind raus. Fals es doch noch Probleme geben sollte melde ich mich wieder^^
#20 17. August 2006 okay, aber trotzdem weiß ich den namen des virus nicht, würde mich interessieren sry zur sicherheit, speichere deine registry ab
#22 17. August 2006 mit dem virus würde ich dir gerne weiterhelfen aber ich habe kein plan wie ich das herausfinden kann
#24 17. August 2006 als ich den 4h check gemacht habe hat kaspersky nur 21 adwares ausgespuckt 11 davon auf der stuff platte. jetzt bekomm ich nur hin und wieder die meldung von der proactive defense: Code: detected: riskware Invader (loader) Running process: C:\Programme\MSN Messenger\msnmsgr.exe
#25 17. August 2006 naja ok, ist ja auch nicht so wild... prob ist denke mal nu gelößt, wenn noch was ist -> pn cya