hellboy
Goto Top

nicht sichtbare dateien im temp ordner löschen !VIRUS!

nicht sichtbare dateien im temp ordner löschen !VIRUS!

Hallo alle zusammen!

Habe da ein Problem und hoffe das mir da jemand Helfen kann!

In meinem Windows\TEMP Order habe ich dateien die ich nicht sehen kann (weder mit dem Explorer noch dem Total Commander) * es sind keine versteckten dateien

Sie sind nur kurz sichtbar im Virenchecker wenn ich einen Checker drüberlaufen lasse. Die dateien heissen meistens 000xxxxx.exe (xxx sind immer zahlen). Desweitern bekommt ich dateien direckt auf C: die mit .sqm enden. Egal welchen Virenchecker ich nehme keiner entfernt die Teile.

Jetzt meine frage: Gib es ein Programm womit ich auf der Festplatte auch verzeichnisse wie BOOT$ u.s.w. sichtbar machen kann? Weil dann habe ich auch die Möglichkeit diese Dateien zulöschen.

Bin für jede Hilfe Dankbar

Danke

Bemerkung: Kein MSN auf diesem System installiert und auch die Tools von Sysinternals helfen nicht weiter.....

702158434a6160f0837330ecd2bf0bda-dateiinfo

d88d2ccfe090a583d3b6e8456ceb3165-aport

Content-Key: 43547

Url: https://administrator.de/contentid/43547

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Ravers
Ravers 02.11.2006 um 10:29:59 Uhr
Goto Top
Grundlagen Virus entfernen:

abgesicherten Modus starten.
Systemwiederherstellung deaktivieren
Viren scannen / löschen

.. und gut ist (?!)
Mitglied: Hellboy
Hellboy 02.11.2006 um 10:34:30 Uhr
Goto Top
Das habe ich auch schon versucht, hatte aber leider keinen Erfolg!
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 02.11.2006 um 12:22:14 Uhr
Goto Top
Hallo,

wie ist es denn, wenn Du die Platte aus dem PC ausbaust und die in einen anderen PC dazuhängst. Dann kannst Du auf die Platte zugreifen, ohne das von ihr gebootet ist und dann die Dateien lösche. Du kannst natürlich auch eine Knoppix-CD o.ä. nehmen und von der booten.

Hast Du das schon probiert?

Ralf
Mitglied: Shaby
Shaby 02.11.2006 um 12:38:44 Uhr
Goto Top
Moin

Hast du auch schon den Virenscanner von www.avast.com probiert? Dort kannst du eine Boot-Prüfung machen bevor irgendwas von Windows geladen wird.

Wäre sicher auch noch ein Versuch wert.

Shaby
Mitglied: Hellboy
Hellboy 02.11.2006 um 12:53:33 Uhr
Goto Top
ja habe ich auch schon gemacht aber kein Viren Scanner löscht diese dateien! Und peer Hand geht ja nicht weil sie nicht sichtbar sind.
Mitglied: Hellboy
Hellboy 02.11.2006 um 13:13:53 Uhr
Goto Top
Grundlagen Virus entfernen:

abgesicherten Modus starten.
Systemwiederherstellung deaktivieren
Viren scannen / löschen

.. und gut ist (?!)


Es gibt Ordner auf der Platte die Du nicht sehen kannst wie z.B. BOOT$ und MFT$ ......

und ich brauche ein Tool mit dem ich diese Sichtbar machen kann und auch zugriff auf diese Ordner habe.


Der FileMon zeigt diese nicht an weil sie für in ja nicht existent sind!!!!
Diese .EXE Files versuchen eine Verbindung ins Netz aufzubauen und dann dateien zu installieren, deshalb sehen alle Virenchecker dieses auch nicht als Bedrohung an. Und Spy Bot und Co merken nichtmal das diese dateien da sind.
Mitglied: Ravers
Ravers 02.11.2006 um 13:46:33 Uhr
Goto Top
und was passiert wenn man den Ordner temp im abgesicherten Modus komplett löscht??

Unter Ordneroptionen "Geschützt Systemdateien ausblenden" deaktivieren und "Alle Dateien anzeigen" aktivieren; das denke ich hast du gemacht ?!?
Mitglied: Hellboy
Hellboy 02.11.2006 um 13:51:10 Uhr
Goto Top
habe ich auch schon versucht! Bringt nichts........ wenn es nur das System wäre würde ich sagen Image rauf und gut aber das ist jetzt schon das 9 System und ich will eine Lösung finden..... es kann nicht sein das da nur eine Neuinstallation helfen kann.

Habe auch schon den TEMP Ordner verlegt usw. auch alle REG Einträge geändert aber alles ohne Erfolg ich werde langsam beklopt.......
Mitglied: gnarff
gnarff 02.11.2006 um 14:39:03 Uhr
Goto Top
hallo hellboy!
suche die xxxxxxx.exe dateien einmal in der registry und poste mir die schluessel...
saludos
gnarff
Mitglied: Hellboy
Hellboy 02.11.2006 um 14:53:29 Uhr
Goto Top
die stehen nicht in der REG!!!!! werden weder als dienste noch als prozess gestartet..... habe echt keine ahnung mehr wie die dinger sich starten....... auch aufrufe über dlls sind nicht da.....
Mitglied: gnarff
gnarff 02.11.2006 um 17:30:05 Uhr
Goto Top
hallo hellboy!
das habe ich mir fast schon gedacht, dass du sie da nicht finden wirst, denn du hast schon laengst keine kontrolle mehr ueber deinen rechner.
hast noch eine zwei chancen:

1. hidden finder
http://www.wenpoint.com/download/download.php

2. rootkit hook analyzer
http://www.resplendence.com/hookanalyzer/

beides im abgesicherten modus, mit abgezogenem netzwerkstecker

suerte
saludos
gnarff
Mitglied: Hellboy
Hellboy 03.11.2006 um 08:21:12 Uhr
Goto Top
auch diese Tools zeigen mir nicht mehr als viele andere ........ menno das kann doch nicht sein!?
Was mir jetzt aufgefallen ist das dieses sehr oft (zu 100%) bei Systemen auftritt wo AOL 9 installiert ist !
Mitglied: Hellboy
Hellboy 03.11.2006 um 08:44:12 Uhr
Goto Top
hallo hellboy!
das habe ich mir fast schon gedacht, dass du
sie da nicht finden wirst, denn du hast schon
laengst keine kontrolle mehr ueber deinen
rechner.
hast noch eine zwei chancen:

1. hidden finder
http://www.wenpoint.com/download/download.php

2. rootkit hook analyzer
http://www.resplendence.com/hookanalyzer/

beides im abgesicherten modus, mit
abgezogenem netzwerkstecker


Beide Tools laufen nicht im Abgesicherten Modus !!!
Mitglied: gnarff
gnarff 03.11.2006 um 19:58:22 Uhr
Goto Top
hallo hell!
warum z.b. der hookanalyzer im abgesicherten modus nicht auf rspsc.sys zugreifen kann, kann ich mir nicht erklaeren, ich versuche das gerade herauszufinden. whatever...
ich dachte es waere vllt. eine gute idee, diese tools im abgesicherten modus auszuprobieren, aber wenn es nicht funktioniert, dann machs halt im normalen betriebsmodus und lass uns die ergebnisse wissen.

ich bin nach wie vor der meinung; kontrolle verloren, daten sichern, mit einem nicht-windowstool formatieren [zb. maxtor powermax] und neuinstallieren...

saludos
gnarff
Mitglied: KevinFree
KevinFree 06.11.2006 um 12:29:25 Uhr
Goto Top
Hallo,
was führt Dich zur Annahme, daß ist es sich um unschöne Dateien handelt? Macht der Rechner Mucken?

Es kann auch sein, daß dies Dateien vom Virusscanner sind, die im TempOdner für die Scandauer geparkt sind.

Ich würde vor der Notschlachtung jedoch noch mal um weitere Infos bitten. Prüfe auch mal mit dem Programm "activePorts" ob ungewollte Verbindungsversuche hergestellt werden.

Gruß von der Küste Kev
Mitglied: gnarff
gnarff 06.11.2006 um 16:14:01 Uhr
Goto Top
@kevin
Es kann auch sein, daß dies Dateien
vom Virusscanner sind, die im TempOdner
für die Scandauer geparkt sind.

dann waeren es aber keine *.exe dateien

die *.sqm files kommen vom hc_smtp log -sollten sie zumindest...

saludos
gnarff
Mitglied: Hellboy
Hellboy 07.11.2006 um 17:25:05 Uhr
Goto Top
Hallo,
was führt Dich zur Annahme, daß
ist es sich um unschöne Dateien handelt?
Macht der Rechner Mucken?

Es kann auch sein, daß dies Dateien
vom Virusscanner sind, die im TempOdner
für die Scandauer geparkt sind.

Ich würde vor der Notschlachtung jedoch
noch mal um weitere Infos bitten. Prüfe
auch mal mit dem Programm
"activePorts" ob ungewollte
Verbindungsversuche hergestellt werden.

Gruß von der Küste Kev

Ne Mucken macht er keine und auch mit NetStat sind keine Ports offen !!
Das Tool activePorts löst bei meinem Virenchecker gleich Alarm aus!!!

Siehe Bild oben was der Virenscanner sagt!!
Mitglied: KevinFree
KevinFree 08.11.2006 um 10:22:49 Uhr
Goto Top
hmm, seltsam, daß activPorts bei Dir wg VirProg nicht ausgeführt werden kann. Falls Du es nicht von der Herstellerseite gesaugt hast, sag noch mal Bescheid, dann schick ich Dir meine exe.

Guck doch mal unter

http://www.oo-software.com/de/

ich meine, die haben ein tool um versteckte/nicht soll sehen Dateien anzeigen.

Hast den Hersteller Deines VirProg mal das Problem geschickt?

Grüße von der Küste

Kev