Danke für die schnelle Hilfe.

Habe die Datein im system32 löschen können
ausser 1 Datei

die jkghje.dll lies sich nicht löschen,

da stand dann DATEI WURDE NICHT GEFUNDEN, KONNTE NICHT GELÖSCHT WERDEN!


Auch mit dem CCleaner hab ich meine temp.Datein löschen können.


Muss ich jetzt noch irgendetwas machen? :-)

Zitat:

die jkghje.dll lies sich nicht löschen,

Aber sie ist noch vorhanden oder wie soll ich das verstehen? Siehst Du sie noch?

Jap, die Datei ist noch vorhanden
und ich sehe sie auch im system32 Ordner,
sie lässt sich nur nicht löschen. Komisches Ding

Versuch das Teil mit Killbox zu löschen:

- killbox starten
- Option "Delete on reboot" wählen
- kompletten Pfad zur Datei in das Adressfeld kopieren
- auf das rote Schild mit dem weißen X klicken
- die folgende Abfrage mit Ja beantworten; das System wird rebootet
- verifiziere dann ob die Datei auch wirklich weg ist

Ich habs mit KillBox versucht,
leider bringt das Programm die Datei auch nicht runter

Ich hab schon so das blöde Gefühl der werkelt was böseres in tiefen Systembereichen...

Klick mal den blacklight link in meiner Signatur an und laß das Programm mal durchlaufen und poste das Ergebnis.

Also , hab den Blacklight Scan gemacht
und er sagt mir nach dem Scan
dass er nichts gefunden hat
also NO HIDDEN ITEMS FOUND

Dann probiers mal mit dem Avenger => The Avenger

Dort wie beschrieben vorgehen aber kopier das hier als text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to replace with dummy:
c:\windows\system32\jkghje.dll
         

Nach dem neustart das avenger log posten. Schau dann auch nach ob die ominöse Datei in system32 dann auch Null Byte hat!

Ja nachdem ich jetzt Avenger angewandt habe
hat die Datei jetzt 0 Byte.

:aplaus:

Und hier das Avenger Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qbrcphqc

*******************

Script file located at: \??\C:\WINDOWS\system32\hosjycpi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\jkghje.dll replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.



Muss ich jetzt noch was machen? :-)

Zitat:

Muss ich jetzt noch was machen? :-)

Es würde mich schon interessieren welcher Schädling da so hartnäckig war. Schau mal in die c:\backup\avenger.zip, da sollte sie als Backup gezipt drin sein. Entpack sie und werte jkghje.dll Teil mal bei Virustotal aus und poste die Ergebnisse.

Ich hab jetzt die Datei aus dem BackUp vom Avenger
versucht bei Virustotal hochzuladen, also die jkghje.dll - Datei

aber er sagt mir bei Virustotal

0 bytes size received / Se ha recibido un archivo vacio

Du versuchst aber nicht die aus system32 hochzuladen oder? :aplaus:

Nein, bei C:\Avenger
war eine Back-up Zip Datei
die hab ich geöffnet
und da die jkghje.dll - Datei aus dem entzipten Backup Ordner
über Virustotal laufen lassen