Hilfe - Suche - Mitglieder - Kalender
Vollansicht: dc9 in papierkorb
Rokop Security > Security > Trojaner, Viren und Würmer
bullettime
Hallo zusammen

In meinem Windows XP Papierkorb ist immer eine Datei, die er angeblich nicht löschen kann (da sie gerade verwendet wird). Der Name ist jedesmal "dc9". Prefix weiss ich nicht mehr. Ich sehe jedoch nie eine Datei im Ordner, obwohl ich die versteckten Ordner angezeigt habe.

Ich habe auch die ganze Festplatte mit AntiVir gecheckt. Er meldet jedoch nichts. Die Daten sind immer auf dem neusten Stand.

Danke im Voraus

bullettime
rock
hey bullettime,
wie ist denn die datei in den papierkorb überhaupt gekommen?
hattest du den MS Flugsimulator? wenn das ding nicht zum löschen geht und die meldung so lautet, das es in verwendung ist, dann musst du diese anwendung vor dem löschen erst beenden. also taskmanager aufrufen und den prozess beenden, dann aus dem papierkorb löschen.

zur sicherheit kannst du mit einem aktuellen guten scanner eine gegenprüfung auf etwigen trojaner/virenbefall prüfen, um sowas mal auszuschliesen oder auch nicht...
http://de.trendmicro-europe.com/enterprise...call_launch.php
wenn du antivir pe während des onlinescans abdrehst/deaktivierst, geht's schneller. wink.gif

besten gruss
rock ph34r.gif
bullettime
Hallo rock

Danke für die schnelle Antwort. Den MS Flugsimulator habe ich, jedoch habe ich ihn nie irgendwie gelöscht. Das problem an der Datei ist, dass ich sie nicht sehen kann, also kann ich sie auch nirgendwohin schicken.

Ich sende mal mein HijackThis log. Ich weiss nicht, vielleicht findet ihr was:

Logfile of HijackThis v1.97.7
Scan saved at 13:33:16, on 01.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla1.4\mozilla.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\~Benutzername~\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.game-on.bluewin.ch/god/files/ExentCtl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7863.1159490741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

Danke für eure Bemühungen
rock
hmm...ich seh im log nichts aufregendes.
das kann ich aber nicht zuordnen!
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
vielleciht weis jemand was dieser eintrag bedeutet. muss aber nichtmal was mit deinem dc9 zu tun haben. vielleciht ist es auch nix aufregendes...

wie du kannst die datei nicht sehen?
hast du in den taskmanager geschaut welche anwendung da mitläuft die zu dem dc9 gehört?

gruss
rock
rock
MsPMSPSv.exe??

Bitte mach doch zur sicherheit den vorgeschlagenen onlinescan!!

gruss
rock ph34r.gif

edit: sorry ich hab schon wieder stress, deshalb kann ich nicht garantieren mir weiterhin das genauer anzuschauen. deshalb hab ich auch den log nimmer genau kontrolliert...aber dürfte doch was dran sein... bitte bleib dran, es sind ja andere auch hier.

wie gesagt, mach den onlinescan!
bsi später
rock
Muehle
Hallo,
hol Dir hier den Prozessexplorer:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

damit findest Du auch den prozess der die dc9 sperrt.


bis denne Muehle
Rene-gad
Hallo
QUOTE(bullettime @ 1. June 2004, 13:03)
...In meinem Windows XP Papierkorb ist immer eine Datei, die er angeblich nicht löschen kann (da sie gerade verwendet wird). Der Name ist jedesmal "dc9".

...d<Laufwerk><Nummer> ist keine Datei, es ist ein Systemordner, den man wirklich nicht löschen kann, da sonst ohne Papierkorb ausgehen muss wink.gif. Diese Unterordner entsprechen AFAIK den Ordner, aus denen aus gelöscht wird und erlauben die Wiederherstellung der versehentlich gelöschten Daten
bullettime
Hallo zusammen

Ich danke euch vielmals für die vorherigen Antworten. Den Tipp den Mühle gemacht hat habe ich bevolgt, kann jedoch nichts verdächtiges finden. Der Onlinescan hat kein Virus gemeldet. Vieleicht ist das nur ein Fehler.

Zur Sicherheit habe ich mal einen printscreen des prozessexplorers gemacht und hinten angehängt.

Viele grüsse aus der Schweiz
NyteWysh
QUOTE(rock @ 1. June 2004, 13:57)
das kann ich aber nicht zuordnen!
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
vielleciht weis jemand was dieser eintrag bedeutet. muss aber nichtmal was mit deinem dc9 zu tun haben. vielleciht ist es auch nix aufregendes...


Hi smile.gif

Der Eintrag ist m.W. nix schlimmes ... wird von Windows erzeugt bei einem Fehler (über dessen Reporting Tool)

Näheres dazu gibt's
hier.
Rene-gad
Hallo,

QUOTE(bullettime @ 1. June 2004, 18:09)
...Den Tipp den Mühle gemacht hat habe ich bevolgt, kann jedoch nichts verdächtiges finden. Der Onlinescan hat kein Virus gemeldet.

ich habe ein ganz dummes Gefühl, dass du unbedingt ein Problem bei dir feststellen willst. Hast du einen konkreten Verdacht - z.B. läuft der Recher langsamer, als gewohnt, die Programme starten und beenden sich ohne deines Befehls, bricht die I-Net-Verbindung ab?
Im Endeffekt geht es lediglich um eine Datei im Papierkorb, Bedeutung deren ich bereits (ganz grob) beschriben habe.
QUOTE
Vieleicht ist das nur ein Fehler.

Was ist ein Fehler? In einem gesunden System Probleme aufzusuchen ist ein grober fehler wink.gif .
QUOTE
Zur Sicherheit  habe ich mal einen printscreen des prozessexplorers gemacht und hinten angehängt.

Zur Sicherheit? Zur wessen? Wenn man schon einen "guten" Trojaner hat, hift ihm dann nur format c:\, weil weder HJT noch ProzessExplorer ihn entziffern können: der ersetzt die Windows -Systemdateien und basta! Die werden in den beiden Programmen als "normale" Win/ Files angezeigt, trotzdem sind die es nicht.
bullettime
Hallo zusammen

Nochmals vielen Dank für diese schnellen Antworten.

Dass jedes Mal die Meldung kommt, dass etwas gebraucht wird und nicht gelöscht werden kann hat mich etwas irritiert.

Aber so wie's aussieht kann man die Datei gar nicht löschen, da sie beim löschen gebraucht wird. Ich wollte nur auf Nummer sicher gehen ob das nicht ein Virus oder sonst etwas "böses" ist. So wies aussieht ist meiene Festplatte sowieso in nächster Zeit im Eimer, da sie bem Aufstarten des Windows oder bei Vollbelastung so "plingende" Geräsuche macht. Aber ich sehe die Frage als beatnwortet an.

Danke nochmals

notworthy.gif
Bo Derek
Noch eines: unter Windows kannn man Dateien nicht unwiederruflich löschen, wenn sie geöffnet sind. Sie lassen sich jedoch verschieben. Das bedeutet, dass wenn man eine solche geöffnete Datei in den Papierkorb verschiebt, man sie auch dort nicht löschen kann.
bullettime
Hallo zuammen

Ich habe eine kurze Frage. Vielleicht bin ich auch blind.....aber ich finde den Button nicht, wie ich meine Beiträge edititieren kann. In diesem Beitrag ist nämlich mein wirklicher Name drauf, und den will ich aus Datenschutzgründen weg haben.

Danke vielmals für eure Bemühungen

(und sorry falls ich wirklich zu blind war den Button zu finden)

vegemate
Voyager
Nach einer kurzen Zeit von Stunden verschwindet die Editierfunktion damit die Leute nicht zu sehr den Sinn des Themas nachträglich entstellen , du musst "Manu" als Moderator bitte alte Texte zu ändern.
Xeon
Du kannst deine Beiträge nach 5 Jahren nicht mehr ändern, bitte einen Mod das zu machen. smile.gif

Gruß Xeon
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.