hartnäckiger virus/malware eingefangen, rpcss_pl.exe lässt sich nicht löschen Einstellungen

[Andy]

hi
ich hab mir neulich etwas eingefangen, das mich fast verzweifeln lässt.
es handelt sich um folgende dateien im windows/system32 ordner:
- wuactl4.exe
- perfcl.exe
- msasmsn7.dll
- rpcss_pl.exe
die letze datei allerdings ist am schlimmsten. in der liste der laufenden prozesse ist sie immer drin und lässt sich einfach nicht löschen - das ganze ist auch im abgesicherten modus mit deaktivierter systemwiederherstellung so. wenn ich versuche sie manuell zu löschen kommt auch ein fehler. mit Hijackthis konnte ich sie nur kurzzeitig entfernen, wobei sie beim nächsten scan wieder vorhanden war. die werte die in der registry rpcss_pl.exe starten ,bzw. auf sie zugreifen, kann ich auf nicht löschen.
was mir jedoch seltsam vorkommt ist das kaspersky und escan die datei nicht erkennt, im IE die startseite verändert wird obwohl ich firefox benutz und HJT beim starten mehrmals hintereinander folgenden fehler anzeigt:

CODE

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

achja, bevor ichs vergesse, ich hab windows xp home edition, SP1 drauf.
kann mir dabei bitte jemand weiterhelfen?....ich bin mit meinem latein am ende (und google auch)

[Andy]

heureka!
vielen dank an alle die mir geholfen haben.

ich hatte haargenau die selben probleme wie der auf der hilfeseite von raman's link (kein ton, taskleiste hat keine geöffneten fenster angezeigt, drag und drop deaktiviert,keine verküpfungen angezeigt). jedoch haben bei mir die zwei .reg dateien aus grinlers zweitem post geholfen.
bis jetzt geht alles relativ normal und HJT funzt auch wieder. HJT zeigt zwar noch folgende beiträge immer wieder an, aber das ist mir vorerst egal :
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll (file missing)
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe (file missing)

jetzt hab ich nur noch eine kleine frage
was ist "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" ???
in dem forum sagt grinler man soll es löschen. durch googlen hab ich allerdings rausgefunden, das es zu windows gehört. und ich bin mir gar nicht sicher ob das schon länger im taskmanager ist.(...glaub eher nicht)

[Stefan]

was ist  "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" ???
[right][snapback]84095[/snapback][/right]

Das kannst du ruhig löschen, musst es aber nicht.
Siehe auch hier: http://www.rokop-security.de/index.php?sho...indpost&p=80523

Der Beitrag wurde von Stefan bearbeitet: 12.03.2005, 22:53