Seltsames Verzeichnis

#0
21.06.2005, 15:13
Member

Beiträge: 61
#1 Entdecke gerade ein Verzeichnis: C:\Programme\xerox + Unterverzeichnis C:\Programme\xerox\nwwia - sie sind beide völlig leer und lassen sich dennoch nicht entfernen. Beim Versuch den Schreibschutz zu entfernen (Eigenschaften), wird das einfach ignoriert, das heißt der Schreibschutz bleibt, bzw. wird wieder neu gesetzt...

Warmeldung von Windows: kann nicht gelöscht werden, da sie von einem anderen Program oder einer Person benutzt werden.

Danke für Löschhilfe :-)

Philipp
Seitenanfang Seitenende
21.06.2005, 15:25
Member

Beiträge: 315
#2 Hallo PhillipBayer,

Hast du denn irgendwelche Geräte von Xerox in deinem PC? Lässt du dir die versteckten Dateien und Systemdateien anzeigen? Wenn nein bitte mal noch einschalten.

edit----- Du kannst dir auch mal das Tool Process Explorer runterladen und dort dir die Prozesse anzeigen lassen, die momentan auf deinem PC laufen. Dort kannst du dir dann auch die Informationen anzeigen lassen, z.B. von welchem Ort dieser Prozess ausgeführt wird. In deinem Fall der Xerox Ordner
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Dieser Beitrag wurde am 21.06.2005 um 15:30 Uhr von Marty editiert.
Seitenanfang Seitenende
21.06.2005, 15:33
Member

Themenstarter

Beiträge: 61
#3 Nein ich besitze nichts von Xerox... lassse auch alles anzeigen...
Danke Philipp
Seitenanfang Seitenende
21.06.2005, 15:37
Member

Beiträge: 315
#4 Dann lade dir mal den Process Explorer von folgender Seite runter:

http://www.sysinternals.com/Utilities/ProcessExplorer.html

Dann kannst du auf die laufenden Prozesse per doppelklick Informationen aufrufen, unter anderem auch aus welchem Verzeichnis sie gestartet werden.

Gruß Marty
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 16:12
Member

Themenstarter

Beiträge: 61
#5 Danke, jetzt hab ich was gefunden...

Process: WINLOGON.EXE 688 Handle: C:\Programme\xerox\nwwia

verstehen kann ichs nicht :-(

Gruß Philipp
Seitenanfang Seitenende
21.06.2005, 16:20
Member

Beiträge: 315
#6 Das ist allerdings seltsam, du hast sicher keine Hardware von Xerox?
Drucker oder Monitor? Netzwerkkarte vielleicht?
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 16:27
Member

Themenstarter

Beiträge: 61
#7 nein nichts... anscheinend verwendet Winlogon dieses Verzeichnis!?

Ich finds ja toll wenns spannend ist... aber das geht schon knapp ne Woche so :-)

Soll ich den Process mal beenden und das Verzeichnis löschen?

Gruß Philipp
Seitenanfang Seitenende
21.06.2005, 16:31
Member

Beiträge: 315
#8 Das wäre mit Sicherheit eine Möglichkeit. Hätte ich dir jetzt auch dazu geraten. Hast du einen aktuellen Virenscanner auf deinem System?

Schon mal ein Hijackthis Log gemacht. Solltest du mal machen und hier posten.
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 16:32
Member

Themenstarter

Beiträge: 61
#9 Nach Beendigung des Prozesses, habe ich jetzt das Verzeichnis umbenannt... ich starte neu, dann poste ich das HijackLog..
Seitenanfang Seitenende
21.06.2005, 16:35
Member

Beiträge: 315
#10

Zitat

Wichtig: Die Datei "winlogon.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei winlogon.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit
Quelle ist diese Site:

http://www.neuber.com/taskmanager/deutsch/prozess/winlogon.exe.html
Unbedingt Virenscanner updaten und durchsuchen lassen. Hijackthis Log...
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 16:39
Member

Beiträge: 315
#11 Desweiteren solltest du wohl auch mal mit eScan deinen PC durchsuchen.
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 16:41
Member

Themenstarter

Beiträge: 61
#12 Da bin ich wieder....

Winlogon.exe ist im vorgeschriebenen Verzeichnis und die Datei ist auch sauber.
Seit einer Woche etwa bin ich am desinfizieren :-)
Mein Rechner läuft ohne Probleme. Alles Scanner bis auf Panda melden nichts!
Panda findes immer "SaveNow" in der Registry... bisher konnte ich das nicht entfernen.


Nachdem ich also den Prozess beendete, konnte ich das Verzeichnis umbenennen. Nach dem Reboot, gerade eben, ist das umbenannte Verzeichnis noch da (logisch9, aber das alte zusätzlich wieder angelegt... also der Zustand wie vorher :-((

Was ist das bloß ????
Seitenanfang Seitenende
21.06.2005, 16:48
Member

Beiträge: 315
#13 Was ist mit dem Hijackthis Log? eScan hast du schon drüber laufen lassen?
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
21.06.2005, 17:09
Member

Themenstarter

Beiträge: 61
#14 eScan läuft.....

Logfile of HijackThis v1.99.1
Scan saved at 17:05:38, on 21.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\LaunchPd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096478753734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
Seitenanfang Seitenende
21.06.2005, 17:12
Member

Beiträge: 315
#15 Hmm, das Log sieht alles in allem gut aus. Kannst es selber auswerten lassen unter http://www.hijackthis.de/.
__________
Problembehebung leicht gemacht: GOOGLE! Suchfunktion verwenden...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: