Moin!
Ich hab seit heute 02:07 Uhr eine Datei namens "jpgpqdoh" auf meiner Festplatte, von der auch 2 Prozesse in meiner Taskleiste aktiv sind. Sobald ich diese lösche, starten diese automatisch neu. Die .exe lässt sich nicht löschen, was mich ziemlich stutzig gemacht hat :D (War hier schonmal angemeldet, bis sich damals free-hack ja kurzzeitig verabschiedet hat)

Jetzt wollte ich fragen, da es sich hier sowieso höchstwarscheinlich um irgendwas unnötiges auf der Platte handelt, ob es Möglichkeiten gibt, die Datei von der Platte zu verbannen, ohne diese gleich komplett neu aufsetzen zu müssen. Ich habe per netstat -a mal die Verbindungen angeschaut (davor hab ich alle Programme die was mit internet zu tun haben ausgemacht) und die einzigste, die mir aufgefallen ist (da die nach Kiel geht und von Kabel Deutschland ist) mal mit dem Port blockiert.

Das Problem ist jetz einfach, dass sich der Prozess nicht beenden lässt (wenn dann nur kurzzeitig), sich die Datei nicht löschen lässt (da in verwendung) und ich mit der nichts anstellen kann. Könnte auch sein, dass es sich nicht unbedingt um einen Virus handelt, aber da geh ich lieber auf nummer sicher.

MfG
mtz

Hast du den Namen hier richtig gepostet? Ich wollt grad mal googlen was das sein könnte, da ich das noch nie gehört habe, und nichts gefunden.

Wäre es ein Windowsdienst gäbe es zumindest einen googlebaren Eintrag in der Windowsdatenbank, ich schätze also mal das es irgendein noch unbekannter Wurm ist, obwohl es auch unwahrscheinlich ist das du der erste bist der sich das Ding zieht.

Hast du mal versucht das Teil im Administratormodus zu löschen? Von einer LiveCDbooten und löschen?

Den Namen wird niemand finden, weil der wahrscheinlich zufällig pro PC generiert wird.

Du startest am Besten mal mit ner Linux Live CD und löschst die entsprechenden Dateien von der Platte. Vergiss nicht im %AppData% zu gucken, weil die wenigsten Schadprogramme es bei einer Datei belassen.

Danach schaust du im Windows nochmal die Registry durch und löscht jeden Eintrag, der dir verdächtig vorkommt.

Aber bevor du was kaputt machst such dir ein wenig Hilfe bei Google vor dem Löschen.

Hast du mal versucht das Teil im Administratormodus zu löschen? Von einer LiveCDbooten und löschen?

Jo, habe schon gegooglet aber ebenfalls nicht gefunden. Ich bin hier Admin auf dem PC, müsste ich dann nicht im Prinzip schon die ganze Zeit ihn als Administrator löschen?



Du startest am Besten mal mit ner Linux Live CD und löschst die entsprechenden Dateien von der Platte. Vergiss nicht im %AppData% zu gucken, weil die wenigsten Schadprogramme es bei einer Datei belassen.

Die Datei befand sich schon von anfang an im %AppData% :lol

Hallo

Hast du Windows 7
Bei Windows7 (und Vista vllt. auch) kannst du rechtsklick auf den Prozess machen und "Dateipfad" öffnen oder so ähnlich.

Dannach öffnest du erstmal diese zwei Ordner wo diese Dateien sich verstecken.
Eventuell auch versteckte Ordner anzeigen lassen.

Dannach schreibst du ein kleines Programm welches den Prozess immer wieder killt mit einer Schleife. So in etwa für vb:


For Each Process In System.Diagnostics.Process.GetProcessesByName("PROZESSNAME OHNE ENDUNG") Process.Kill() NextDann navigierst du erneut zu den geöffneten Ordner und löschst beide Dateien.
Dannach noch ein Blick unter msconfig bzw HKLM und HKCU

und %appadta%\Microsoft\Windows\Start Menu\Programs\Startup nicht vergessen.

Das Programm kann dir dabei helfen:
http://www.safer-networking.org/de/runalyzer/index.html

PS:
Falls du XP hast kannst du den Security Task manager laden um heraus zu finden wo sich die Dateien verstecken:
http://www.chip.de/downloads/Security-Task-Manager_18274692.html

/Edit
Falls du die *.exe haben möchtest, hier, 11 kb , braucht .net framework 2.0 und killt dein Prozessname: https://rapidshare.com/files/2894689438/virus_kill.exe
VT: https://www.virustotal.com/file/992ecd02587c2b5e6e00b959cc3d55300cb0115286bbb3029c 3315c5f8e45b7c/analysis/1333787151/

Viel Spass,
pysnake

Neuigkeiten:

Die Datei/Der Prozess ist im Autostart unter "PC Health Status" eingetragen, allerdings hatte ich diesen gestern schon im Autostart deaktiviert. Die Datei startet allerdings immernoch :???

Zu der Idee mit der LiveCD: Kann es sein, dass mir dann die Truecrypt-Verschlüsselung der Platte faxen macht? Ich meine, ich hab das noch nie gemacht also kanns auch sein, dass ich was falsch mache, aber ich habs bisher nicht hingebracht iwie Zugriff auf meine Platte zu kriegen geschweigedenn dass ich soweit gekommen bin, dass ich das TrueCrypt PW eingeben musste^^.

Außerdem habe ich den Prozess inder Registry gefunden und gelöscht. Habe allerdings keinen Unterschied bemerkt, sofern es einen geben sollte. Ist alles so wie vorher, also was das Löschen und Killen des Prozesses betrifft.

//e:
Ich habe mal netstat -b in der cmd ausgeführt. Der Prozess läuft unter dem Port 50088 und connected zu der IP 109.230.220.92. Dahinter steht allerdings SCHLIESSEN_WARTEN.
Hab ich was zu befürchten? Da die vorherigen Ports (50087,50083 etc) von meinem java und Tor verwendet wird, frag ich mich ob das jetzt reiner zufall ist, dass der Prozess direkt am nächsten, freien Port läuft.

Systemwiederherstellung -> Deinfec´t durchscannen -> Dateileichen beseitigen