hartnäckiger virus/malware eingefangen, rpcss_pl.exe lässt sich nicht löschen Einstellungen

[Andy]

hi
ich hab mir neulich etwas eingefangen, das mich fast verzweifeln lässt.
es handelt sich um folgende dateien im windows/system32 ordner:
- wuactl4.exe
- perfcl.exe
- msasmsn7.dll
- rpcss_pl.exe
die letze datei allerdings ist am schlimmsten. in der liste der laufenden prozesse ist sie immer drin und lässt sich einfach nicht löschen - das ganze ist auch im abgesicherten modus mit deaktivierter systemwiederherstellung so. wenn ich versuche sie manuell zu löschen kommt auch ein fehler. mit Hijackthis konnte ich sie nur kurzzeitig entfernen, wobei sie beim nächsten scan wieder vorhanden war. die werte die in der registry rpcss_pl.exe starten ,bzw. auf sie zugreifen, kann ich auf nicht löschen.
was mir jedoch seltsam vorkommt ist das kaspersky und escan die datei nicht erkennt, im IE die startseite verändert wird obwohl ich firefox benutz und HJT beim starten mehrmals hintereinander folgenden fehler anzeigt:

CODE

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #75 - Path/File access error

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

achja, bevor ichs vergesse, ich hab windows xp home edition, SP1 drauf.
kann mir dabei bitte jemand weiterhelfen?....ich bin mit meinem latein am ende (und google auch)

[Gast_sUck0R_*]

schonmal Process Explorer und Autoruns ausprobiert?
meistens kannste die datei nicht löschen, weil der prozess (meist als systemprozess) gerade aktiv ist.
wundert mich nur, dass der sich nicht im abgesicherten modus löschen lässt. aber versuchs doch dort mal mit der konsole, klappt fast immer

[Heike]

mit Hijackthis konnte ich sie nur kurzzeitig entfernen, wobei sie beim nächsten scan wieder vorhanden war.

Hast Du auch probiert, die Datei beim nächsten reboot vor dem eigentlichen Systemstart löschen zu lassen?

[Kool_Savas]

Probieres doch mal mit Knoppix.

http://www.knopper.net/knoppix/

[Andy]

im agesicherten modus mit eingabeaufforderung, hab ich versucht die datei zu verschieben => kein erfolg
und in die autoexec.bak hab ich auch schon reingeschrieben, das sie verschoben werden soll => leider wieder nichts
ich probier dann jetzt mal die zwei programme von sUck0R aus.

[Gast_sUck0R_*]

hm, wenn das nicht klappt glaub ich auch nicht, dass die beiden andren programme dir wirklich weiterhelfen...^^
knoppichillin erweist in solchen fällen auch oft gute dienste

[Catweazle]

hm, wenn das nicht klappt glaub ich auch nicht, dass die beiden andren programme dir wirklich weiterhelfen...^^
knoppichillin erweist in solchen fällen auch oft gute dienste
[right][snapback]84052[/snapback][/right]

Wenn Er Sie kein NTFS hat als Datei System

Catweazle

[Gast_sUck0R_*]

oh, ich glaub das sollte ein problem darstellen...

[Catweazle]

@ Andy

Stinger, Adaware, und Spybot Destroy, Killbox, Online Scann schon versucht ?

Du kannst die mal das schnitzen RescueME V1.43 Source: http://www.aptv38.dsl.pipex.com/RescueME/Rescueme.htm

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 12.03.2005, 19:23

[Andy]

ich hab die datei mit killbox beim nächsten neustart löschen können.
nur jetzt ladet die benutzerauswahl ewig und wenn der benutzer angemeldet ist hat er keine startleise.
omg was nun?

edit: die startleiste wird erst angezeigt, wenn ich eine symbolleiste aktiviere (mit rechtsklick auf das kleine überpleibsel der startseite), nur das benutzerlaaden am anfang dauert sehr lange. wenn ich in dieser zeit strg alt entf drücke, bekomme ich das hintergrundbild angezeit und den taskmanager, welcher anscheinend prozesse zum benutzerprofil lädt.
und die drag and drop funktion ist deaktiviert.

Der Beitrag wurde von Andy bearbeitet: 12.03.2005, 20:18

[raman]

Wenn du im englischen einigrmassenfitt bist, lies dir diesen Thread durch:
http://www.bleepingcomputer.com/forums/ind...t=0&#entry81611

[Andy]

heureka!
vielen dank an alle die mir geholfen haben.

ich hatte haargenau die selben probleme wie der auf der hilfeseite von raman's link (kein ton, taskleiste hat keine geöffneten fenster angezeigt, drag und drop deaktiviert,keine verküpfungen angezeigt). jedoch haben bei mir die zwei .reg dateien aus grinlers zweitem post geholfen.
bis jetzt geht alles relativ normal und HJT funzt auch wieder. HJT zeigt zwar noch folgende beiträge immer wieder an, aber das ist mir vorerst egal :
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll (file missing)
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe (file missing)

jetzt hab ich nur noch eine kleine frage
was ist "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" ???
in dem forum sagt grinler man soll es löschen. durch googlen hab ich allerdings rausgefunden, das es zu windows gehört. und ich bin mir gar nicht sicher ob das schon länger im taskmanager ist.(...glaub eher nicht)

[Stefan]

was ist  "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" ???
[right][snapback]84095[/snapback][/right]

Das kannst du ruhig löschen, musst es aber nicht.
Siehe auch hier: http://www.rokop-security.de/index.php?sho...indpost&p=80523

Der Beitrag wurde von Stefan bearbeitet: 12.03.2005, 22:53

[raman]

Schoen zu hoeren!
Wenn du diese Datei rpcss_pl.exe noch im Submit! Ordner finden solltest, schicke sie bitte an virus@rokop-security.de

[Andy]

ups, sorry.
die hab ich nach dem der ganze spuk zu ende war schnell gelöscht