.exe unlöschbar/breitet sich aus

#1 Hallo, dies ist mein erster Thread hier und ich bemühe mich alle Fakten dieses Themas Zusammenzukramen.

Also zuersteinmal hab ich mir auf einer (allseits-bekannten) ''Warenseite'' ein kleines Progrämmchen gesaugt mit dem ich mein Icq so ''bearbeiten lassen'' kann das es mir die ip des Gegenübers anzeigt.
Eigentlich hab ich's mir ein zweites Mal gesaugt, beim ersten Mal lief alles wie geplant, nur da es nicht gefunzt hat hab ich diese (in Zip) gepackte .exe wieder gelöscht (in meinem Fall die icqcrk.exe). Nun hab ich mit dat Teil mehr oder weniger ausversehen ein zweites Mal geholt, entpackt, ausgeführt und nichts ist passiert, dachte ich zumindest... jedenfalls wollte ich den Driss sofort wieder löschen aber es ging nicht. Dann hab ich Filemon mit der Datei ''gefüttert'' und dat hat mir verraten das auf einmal ganz viele von diesen Dateien existieren ~~ natürlich alle unlöschbar.
Dann dacht ich mir das ich doch glatt mal Processviewer starte und gucke was da so schönes im BG noch läuft, dort war aber nichts verdächtiges zu entdecken, nur der Standartkram ebend... die Firewall meldet auch keine Ausbruchversuche d.h. das es wahrscheinlich ein Sys-vir ist also einer der nichts mit dem Netzwerk zu schaffen hat. Da ich aber von solchen Dingen kaum Plan besitze weiss ich das natürlich nicht genau .
Ich hab nur gemerkt das jetzt die Systemprozesse deutlich langsamer von statten gehen als vorher, was mir sagt das irgendetwas faul ist.
Ich hab auch ehrlichgesagt nicht nochmal Lust auf diese Format c: Prozedur da ich meine Platte so ziemlich Perfekt ausgefüllt habe .
Da ich auch schon 4 verschiedene AVS drüberlaufen lassen habe und die nach wiederholtem Male nichts entdecken konnten kam ich zu dem Schluss, dass ich nun ein relativ grosses Problem haben dürfte. Ich weiss aber nicht so richtig welcher Natur.. eher ein Würmchen oder sogar ein Troj (oder was auch immer)?
Ich hoffe ihr könnt mir da weiterhelfen! BigThx schonmal im Vorraus! bye

btw: Hätte ich die Zip vor dem Entpacken gescannt hätt ich jetzt kein Problem, kleiner blöder Fehler meinerseits.
__________
Warum?

#2 Du kannst ja mal einHijackthis log posten, oder versuchen die Dateien im abgesicherten Modus zu loeschen.
http://www.helpers.de/forum/message.php?forum_id=5&mess_id=200081&act=on
__________
MfG Ralf
SEO-Spam Hunter

#3 Die Methode mit HiJackthis werd ich jetzt mal wahrnehmen danke für den Tip, aber im abgesicherten Modus sind diese Files ebenfalls unlöschbar.

[edit]

Also das hat es ausgespuckt:

Logfile of HijackThis v1.97.7
Scan saved at 15:27:47, on 07.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Jap\jap.exe
C:\Programme\Java\j2re1.4.2_01\bin\javaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\aggressor)))\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC76542-D03C-462E-BDFA-5DA7070C42E5}: NameServer = 217.17.19x.xxx 217.17.19x.xxx

Allerdings frage ich mich was dieser Pornmist dort verloren hat, ich hab nie solche Sites besucht (jedenfalls nicht nach dem letzten Format c: )

[/edit]
__________
Warum?

#4 btw mit systemwiederherstellung wird das auch nichts weil ich nie n punkt gesetzt hab, warum auch immer^^
__________
Warum?

#5 Du kannst ja mal im abgesicherten Modus dich als "Administrator" anmelden und schauen, welche Benutzer du auf deinen Rechner hast und bis auf deinen und den Gastkonto alle loeschen. Auch solltest du dem Administrator Konto ein Passwort zuweisen.
In welchem Verzeichniss befinden sich denn deine "~~" Dateien? Im abgesicherten Modus( als administrator) solltest du sie loeschen koennen. Und sei es mit "del /f"
Auch solltest du dein Windows via www.windowsupdate.com auf den neusten Stand bringen.
Auch solltest du mal dein "Windowblinds" kurzfristig abschalten um Fehlerquellen auszuschliessen.

BTW: Das kannst du von Hijackthis fixen lassen:
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
__________
MfG Ralf
SEO-Spam Hunter

#6 naja...

das problem ist behoben. irgendwie war die partition der festplatte beschädigt oder so... egal, ich hab ne neue und hab die alte verscherbelt, trotzdem danke
__________
Warum?

#7 Hattest dus mal mit Systemwiederherstellung deaktiviert poriberit?