ich bin gestern einen viruscheck mit antivir durchgegangen.

dabei hat er den wurm korbo q und einen anderen gefunden und gelöscht. einer davon war in dem temporary internet files ordner.

das hat mich gleich dazu gebracht auch den ganzen temp ordner zu löschen. es gibt jedoch dort eine datei die er nicht löschen kann, weil ein prozess diese gerade verwendet. auch nach direktem booten startet dieser prozess so daß er nicht löschbar ist.

beim ersten mal hieß die datei jetcab6.tmp. sie ändert bei jedem neuen booten den namen. jetzt nennt sie sich jetc65f.

kennt jemand diesen "jet" ? googlen hat nix gebracht.

wie kann ihn löschen ? leider kann ich nicht dieser datei keinen prozess zuordnen, um den dann auszuschalten.

mmm...

Mach mal einen Log mit HijackThis, dann schauen wir weiter ...

Logfile of HijackThis v1.98.0
Scan saved at 11:34:07, on 28.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\PROGRA~1\Cacheman\Cacheman.exe
C:\Programme\PerSono\perstray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\wincmd\WINCMD32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\hjthis\HijackThis.exe
C:\WINDOWS\system32\tftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO}
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\Cacheman\Cacheman.exe
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{199B46F4-B552-4D14-9419-46C1B233E5A7}: NameServer = 145.253.2.75 195.50.140.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{199B46F4-B552-4D14-9419-46C1B233E5A7}: NameServer = 145.253.2.75 195.50.140.250

mmm...

Richtig was finden konnte ich nicht :(

SP 1 und Updates fehlen:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

C:\wincmd\WINCMD32.EXE <-- Was ist das?
C:\WINDOWS\system32\tftp.exe <-- Windows Dienst, wird von Blaster verwendet => mal beenden und schauen, ob alles normal läuft

O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} <-- dazu muss mal jemand anderes was sagen, ich finde nichts dazu :(

Original geschrieben von Lokadamus
...
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} <-- dazu muss mal jemand anderes was sagen, ich finde nichts dazu :( Hab da was gefunden. Das soll ein Teil des Win9x-Treibers einer Creative-Soundkarte sein ... was der allerdings unter XP macht das würde mich schon interessieren :kratz2:.

wincmd ist windows commander, der vorgänger von total commander.

habe vor kurzem erst auf ein altes backup geswitched. das aktuelle hatte ich nicht mehr.


edit

tftp.exe läßt sich nicht löschen.

dann sind da auch noch meherere andere tftp168...bis tftp 700 dateien.

können nicht gelöscht werden, auch wenn ich den schreibschutz entferne.

sieht nach noch mehr würmern aus.

Hi,
wie sieht das mit dem löschen denn im abgesicherten modus aus?
Und wenn du den temporary des explorers woanderst neu erstellst, also auf ein anderes laufwerk oder anderen ordner?
CU

Original geschrieben von Neon3D
tftp.exe läßt sich nicht löschen.
dann sind da auch noch meherere andere tftp168...bis tftp 700 dateien.mmm...

Sollst du auch nicht löschen, weil es eigentlich ein Windows- Dienst ist. Blaster missbraucht den aber, um sich weiterzuverbreiten, Korgo wohl auch. Komisch ist es trotzdem ...

Original geschrieben von Dauerunreg
Hi,
wie sieht das mit dem löschen denn im abgesicherten modus aus?
Und wenn du den temporary des explorers woanderst neu erstellst, also auf ein anderes laufwerk oder anderen ordner?
CU


der abgesicherte modus bootet nicht bis ins windows.


temp auf ein anderes verzeichnis hat leider auch nichts geändert.

Hast du den schonmal in der Registry gesucht? Vielleicht kann man ihn da kastrieren, um ihn dann zu löschen.

Ich glaube nicht, dass wer nen tftp wirklich braucht ;).