Hallo,
ein Freund hatte einen Virus, der den Taskmanager und Sysinternal Tools blockierte und die Internetverbindung sperrte. Habe ihn dann im abgesicherten Modus aus dem Autostart genommen.

Nun startet auch alles wieder doch ganz entfernt scheint das Ding noch nicht zu sein.

Avira meldet immer wieder einen Virenfund im Ordner "Roaming". Dort befindet sich auch alle 3 Minuten wieder eine Datei. Avira löscht sie, sie wird wieder neu erstellt....

Wie kann ich feststellen, was die Datei dorthin kopiert um das Programm zu entfernen? Im Taskmanager/ProcessExplorer sind absolut keine verdächtigen Prozesse zu finden.

Auch in Autoruns fällt mir kein verdächtiges Programm im Systemstart mehr auf. Ich müsste wissen, welcher Prozess das Kopieren initiiert um das Problem zu beheben.

PC Extern mit CD booten und dann mit Antivirus bearbeiten.

datei löschen, dann kann sie nicht mehr kopiert werden.

PC Extern mit CD booten und dann mit Antivirus bearbeiten.
Danach hat er ja nicht gefragt. ;)
Na ja, egal:
Bevor du dir irgendwelche Boot-CDs antust, kannst du ja auch mal Hitman durchlaufen lassen:
http://www.surfright.nl/en/downloads/

Habe schon sämtliche Boot CD's durch.

datei löschen, dann kann sie nicht mehr kopiert werden.
Dafür müsste ich wissen, wo sie herkommt. Eventuell ist sie auch gepackt und mit einem anderen Namen auf dem Rechner vorhanden und wird erst zuletzt entpackt.

Kann man nicht herausfinden, welches Programm verantwortlich ist? Das ist ja so, als hätte ich plötzlich ein Dokument in einem Aktenordner, sobald ich es rausreisse, erscheint es neu. Ich will sehen, welcher Effekt Physikalisch dazu führt.

Mir geht es auch um die Lösung an sich, ich gebe mich ungern damit zufrieden, einfach zu sagen, es war ein Geist...

datei löschen und eine Fakedatei mi demselben Namen erstellen, diese dann schreibschützen, sollte reichen

Dann läuft aber trotzdem noch etwas auf dem Rechner, was es versucht. Im besten Fall wird es mit einer Fehlermeldung auf sich aufmerksam machen.

Wenn da immer wieder was neu erstellt wird, ist der Rechner bestimmt nicht sauber.
Was soll das also bringen?

http://technet.microsoft.com/de-de/sysinternals/bb896645.aspx

So ein Problem hatte ich auch mal. Dabei hat sich der Virus im Roaming-Ordner immer wieder unter einem anderen Namen reinkopiert (z.B. Intel, Mozzila, ImageBurn).
Unter ...\Local\Temp ist noch mehr zu finden!

Eine Auflistung nach Änderungsdatum ist da sehr nützlich!
Manuelles Löschen von Dateien in diesen Ordnern und aktuell erstellter Dateien sowie SpyBot S&D haben das Problem letztendlich beseitigen können! :)

Meine zusammengetragenen Infos aus dieser Zeit:

C:\Users\USERNAME\AppData\Roaming

- die "USERNAMEdat" LÖSCHEN!!!

Fake-Ordner (in meinen Fall):
- Intel
- ImageBurn
- Mozzila

C:\Users\USERNAME\AppData\Local\Temp

Diverse EXE-Dateien mit ca. 1.143kb Größe.

Plattmachen. Einem einmal kompromittiertem System kann man nicht vertrauen.

Ein Versuch wäre noch im Abgesicherten Modus eine Systemwiederherstellung vor dem Verseuchen herzustellen.