Win XP: Virus der nicht gelöscht werden kann......

Das Wichtigste hast Du unerwähnt gelassen, wie genau heißt der Virus, das zeigt Dir Dein Antivirentool doch genau an??!!

Kann man sich mal durchlesen,alles über Viren,Trojaner u.s.w. : http://www.trojaner-info.de/


Lade Dir mal "Hyjack This" herunter, hier eine Anleitung! http://board.protecus.de/t9391.htm


   

mal mit Unlocker versucht?

http://www.zdnet.de/downloads/prg/0/9/de10389109-wc.html

Rechner im abgesicherten Modus (F8) hochfahren, Rechner scannen und die Datei ggf. löschen.

Hallo, also erstmal Danke für die schnelle und zahlreiche Hilfe.
Also erstmal nachträglich: Der Virus heisst "Email-Worm.Win32.Warezov.1k" von der Engine "KAV"!
Habe einen Unlocker über das Programm laufen lassen, dieser hat mir angezeigt, das der Prozess "Winlogon.exe" die Datei verwendet, meine Frage lautet jetzt, kann ich diese Datei löschen bzw. ist "Winlogon.exe" dann noch funktionsfähig und wenn nicht, ist der Prozess zu wichtig um nicht mehr zu funktionieren?
Danke,
       Philip

Schau hier

Ein Virus, der derart tief in das System eingreift, das er Dir sogar das Löschrecht entzieht, ist wohl kaum mit laienhaften Ratschlägen zu entfernen.
Lese das: Sicherheit wieder herstellen
- sichere Deine Daten, formatiere Deine Festplatte und mache eine Intelligente Neuinstallation.
Dann verwende die Imagetechnologie um Dich in der Zukunft zu schützen.
Einen verseuchten PC zu reinigen - das schaffen nur selbstgefällige Ignoranten. Fachleute nicht!
Jürgen

Zustimm! Hätte der Gast den Virus gleich in seiner 1.Frage beim Namen genannt, hätte man sich das hier alles verkürzen können!Jedes Antivirenprogramm, zumindestens meins, zeigt den "Übeltäter" mit Namen und Adresse! 

Übrigens, @Pitty - ich (wir) haben vor einiger Zeit mal einen Test gemacht.
Ich habe von einen frisch installierten PC ein Registry- Backup gemacht. (ERUNT)
Dann habe ich den PC gezielt mit 3 willkürlich ausgesuchten Schadprogrammen infiziert. (Ich besitze davon ein mehrere Megabyte großes Paket).
Tja - und dann kam ein überzeugter Reinigungs- Spezialist zum Einsatz. Einer, der für Geld Kunden- PCs reinigt - ein zugelassener Spezialist.
Der "reinigte" dann. Keines der bekannten Anti- Tools konnte nach seiner Reinigung noch Schadsoftware erkennnen.
Und wieder ein Registry- Backup gemacht.
Es waren über 1000 (eintausend!) registry- Einträge verblieben, die zuvor nicht vorhanden waren.
Und - ich konnte per Internet auf diesen PC zugreifen und Daten dort drauf laden - ohne das der Besitzer das bemerkte.
Soviel zum Theman Reinigung.
Jürgen

@ Jüki

Also, einen solchen Virus zu entfernen ist mit eigenen Mitteln (auch unter DOS) schon nicht mehr machbar - da gebe ich dir recht. Den Virus, den wir mal in der Firma hatten, war noch relativ harmlos (ist aber auch schon 2 Jahre her) und dauernd kam die Meldung, dass das System jetzt runtergefahren wird ... das hat schon genervt.

 @ Ihr 2 : die beste Reinigung (Spaß muß sein) ist ein Backup wieder zurückzusichern und das hier:    

Hallo Philip,
um wieder auf dein Problem zu kommen, kann es sein das AVK die Malware genau unter diesen Namen findet?
C:\WINDOWS\system32\xpspqdvd.dll

Hier handelt es um eine neue Variante der Malware Stration, Alias Warezov,
die bekanntlich den infizierten PC in ein Botnet einbindet.
(Eine Beschreibung zu Botnet findet man hier: http://www.avira.com/de/threats/virenkunde.html )

Um einen besseren Überblick über dein Problem zubekommen,
erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493


Manuelle Remove Anleitung für “xpspqdvd.dll“
Mit dem Tool “The Avenger“ können die Dateien und Einträge die für Infektion verantwortlich sind manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html

Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:

###Anfang### (Diese Zeile nicht mitkopieren nach Avenger !)
Files to delete:
C:\WINDOWS\System32\xpspqdvd.exe
C:\WINDOWS\system32\xpspqdvd.dat
C:\WINDOWS\system32\xpspqdvd.dll
C:\WINDOWS\d5txeh9i.bmp
C:\WINDOWS\np8dbq.exe
C:\WINDOWS\jfg3awxsgg.pif

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpspqdvd
###Ende### (Diese Zeile nicht mitkopieren !)

Zur Kontrolle sollte im Anschluss noch eine Überprüfung mit dem kostenlosen
Online-Scanner F-Secure vorgenommen werden.
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle dabei die Option “Vollständiger Systemscan“

 

Na, da haben wir ja den lange gesuchten Spezialisten, der sogar mehr vermag, als Microsoft selbst...

...dass das System jetzt runtergefahren wird

Nun, das war der Sasser. Der aber auch nur drauf kam, wenn der Administrator der Firma so leichtsinnig war, das SP2 nicht zu installieren. denn erst danach tauchte Sasser&Co auf.
Das Runterfahren konnte man beheben mit einem Tool, das stimmt - ich hab da mehrere Varianten davon in meinem Fundus.
Ein paar Registry- Einträge,von denen nie jemand sagen konnte, wozu diese dienten, blieben aber zurück. Und konnten auch mir Regcleanern nicht beseitigt werden.
Was wiederum bedeutet, das das System diese nicht freigab, also benötigte...
Jürgen

Selber schuld, wenn einige Firmen-PCs nicht gründlich genug gewartet werden und jeder machen kann, was er will. Der eine spielt in der Pause, der andere chattet ... Auch ich kümmere mich mittlerweile nicht mehr drum - bin ja nicht als Admin in diesem Laden angestellt ...    

Hi Leute, also, riesengroßes Dankeschön!!!!!!!!!
Hab mich genau an die Schritte gehalten, die HELP mir vorgegeben hatte....und es hat perfekt und ohne irgendwelche komplikationen funktioniert!!!! Vielen, vielen Dank!!!!!

Philip