Die datei taucht immer wieder bei mir im Rootverzeichnis auf und versucht, sich zu starten, aber es kommt dabei eine Fehlermeldung. werd ich noch posten, wenn sie das nächste mal kommt.
jedenfalls hab ich per google keine Lösung hierzu gefunden.
spybot und adaware sagen, dass mein system sauber ist, ists aber nicht. ;(
tja, jetzt weiss ich nicht, was ich machen soll. :ratlos:

mmm...

Was sagt der Virenscanner (updaten)? schmeiss das Teil mal aus dem Autostart ...

Original geschrieben von mapel110
Die datei taucht immer wieder bei mir im Rootverzeichnis auf und versucht, sich zu starten, aber es kommt dabei eine Fehlermeldung. werd ich noch posten, wenn sie das nächste mal kommt.
jedenfalls hab ich per google keine Lösung hierzu gefunden.
spybot und adaware sagen, dass mein system sauber ist, ists aber nicht. ;(
tja, jetzt weiss ich nicht, was ich machen soll. :ratlos:

Hi mapel,

ziemlich zähes Teil was du da wohl hast. Bisher hab ich nur das da gefunden:

"Came across this discussion today trying to fix exactly the same problem. File C:\dfgfdgd.exe keeps regenerating itself. As this was the only reference I could find to it on the web, I thought I'd post my results:
- the generated dfgfdgd.exe that I got is actually a text file, whose contents look like an error url from lowestapr.net (in my case) saying /xMailBot.exe could not be found on that server.
- a registry entry shed some lite (at least in searching for a solution) was found. In the usual Run and/or RunServices there was the following key:
Microsoft Update Emulator=wuadsff.exe
Searching for this found a trojan goabot.lu (trend micro and sophos were the only people to respond to a search for "Microsoft Update Emulator") which has an in built self updating mechanism similar to anti-virus software. The goabot.lu trojan reported by trend micro uses a file wuaddsff.exe (note the double d).
- Killed the wuadsff.exe process and removed registry keys. Did not fix the problem of the dfgfdgd.exe file regenerating along with the NTVDM error message. Probabvly unrelated, but included here for completeness in case it is. Norton Anti Virus DID NOT detect the wuaddsff.exe file as a virus.
- Found another entry in the same location as above:
Microsoft Update=snlogsvc.exe. This is similar to sMlogsvc.exe which is a valid process. Killed the sNlogsvc.exe and removed registry entries (which were regenerated in suspiciously virus like behavious if the process was not killed first) and dfgfdgd.exe stopped coming up along with the NTVDM error messages.

My thoughts: in my case, Norton Anti Virus cleaned off a file called xMailBot.exe (as reported in the dfgfdgd.exe file) as infected (can't remember virus). I think what is left is the self-updating mechanism.

Oh, one more thing: both files are installed in the system32 folder as hidden system files and so under XP you have to not only view hidden files but also special system files as well.

Hope that helps"

Ich würd das Teil mal Antivir schicken....

Kane02

C:\WINDOWS\SYSTEM32\SNLOGSVC.EXE

Enthält Signatur des Wurmes Worm/Rbot.CV

hab ich gerade von antivir erhalten, diese meldung.
verdammt, ich weiss nicht, woher auf einmal all die Würmer kommen. :(

Kenn ich gut Mapel.Hatte seit tagen auf laufwerk G: eine datei liegen die immer ein datei names Testfile anlegte. 0kb groß. Virenscanner waren alle! aktuell und mindest 20mal drüber laufen lassen ohne erfolg.Erst als ich ne FW installiert habe war ruhe.Ich hab die datei einfach gelöscht und weg war sie.Voher ist die immer und immer wieder gekommen.

mmm...

Was für ein Windows hast du? alle updates eingespielt oder wie ist es geschützt? Laut Signatur benutzt du schonmal Firefox und Thunderbird ... kannst ansonsten noch ein Log von Hijackthis posten, dann gucken wir wieder ;) ...

das findet jetzt spybot bei jedem Durchlauf. Löschen bringt nix.
:(

Original geschrieben von Lokadamus
mmm...

Was für ein Windows hast du? alle updates eingespielt oder wie ist es geschützt? Laut Signatur benutzt du schonmal Firefox und Thunderbird ... kannst ansonsten noch ein Log von Hijackthis posten, dann gucken wir wieder ;) ...

ich nutze win-xp sp1 mit ein paar patches, nicht allen.
ansosnten browser ich derzeit mit opera7.53 und nutze thunderbird 0.7.2

hier hijackthis
es wird also die von antivir gefundene Datei beim Start geladen. hm, und nu?

Am besten alle 3 Einträge dieser Datei fixen.

mmm...

Du hast bei Hijackthis unten einen Knopf, der zuerst "scan" und danach "save Log" heißt. Damit solltest du mal das Log erstellen und posten ;) ...

Original geschrieben von x-dragon
Am besten alle 3 Einträge dieser Datei fixen.

wenn ich die fixe und reboote, sind sie wieder da. :(

save.log(txt)

Ich habe im Spybot S'n'D auch drei DSO-Exploits, aber:

Antivir = nichts
Hijackthis-Auswertung (http://www.hijackthis.de) = nichts
AdAware = nichts
CWShredder = nichts
Traffic = normal
System = keine bemerkbaren Auswirkungen

Vielleicht sind die DSO-Meldungen auch harmlose Hinweise auf ungepatchte Sicherheitslücken :ratlos:

Original geschrieben von mapel110
wenn ich die fixe und reboote, sind sie wieder da. :(

save.log(txt)

Hau dir mal Panda-Antivirus drauf und pack die Teile an der Wurzel.
www.pandasoftware.com
Bevor du scannst mach aber ein Update.

mmm...

Hier meine Auswertung, einiges hab ich nicht zu sortiert (dort steht dann "<-- selber installiert", da must du selber mal schauen, was es ist), weil ich zur Zeit zu faul zum Suchen bin:
Running processes (kannst abschiessen):

C:\cFosNT\cFosDNT.exe <-- selber installiert?
C:\WINDOWS\System32\windowssvc.exe <-- unbekannt !!! lösch mich
C:\Program Files\MTraps\MTray.exe <-- selber installiert?
C:\Program Files\Pyrenean\eDexter\eDexter.exe <-- selber installiert?

O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe <-- selber installiert?
O4 - HKLM\..\Run: [regsrv] scvhost.exe <-- unbekannt !!! lösch mich
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe <-- unbekannt !!! lösch mich
O4 - HKLM\..\RunServices: [regsrv] scvhost.exe <-- unbekannt !!! lösch mich
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe <-- unbekannt !!! lösch mich
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe <-- unbekannt !!! lösch mich

O4 - Startup: eDexter.lnk = C:\Program Files\Pyrenean\eDexter\eDexter.exe <-- selber installiert?
O4 - Startup: Folding@home 4.00.lnk = ? <-- lösch mich, ich hab keinen Inhalt
O4 - Global Startup: MTray.lnk = C:\Program Files\MTraps\MTray.exe <-- selber installiert?

Original geschrieben von Argo Zero
Hau dir mal Panda-Antivirus drauf und pack die Teile an der Wurzel.
www.pandasoftware.com
Bevor du scannst mach aber ein Update.

tolles stück software, echt. Verlängert bei mir den systemstart um gut eine halbe minute und lässt sich dann noch nicht mal starten. :up: da waren wahre meister-coder am werk.
obendrein noch drei weitere proggies im speicher, die sich daraus noch nicht mal entfernen lassen per taskmanager. gottseidank hat der uninstaller von dem Teil wenigstens nicht versagt.
:kotz:

Original geschrieben von Lokadamus


thx, werd mal schauen