Polt

Ich habe mir ein paar von den Dingern eingefangen.
VUNDO hat der Norton erkannt, kann ihn aber - natürlich - nicht entfernen.
Trendmicro Homecall findet noch mehr, entfernt sie auch, kann aber zwei Dateien nicht löschen, da sie "von Windows derzeit verwendet werden": pdfenum.exe und kalvorp32.exe. Beide in Windows\System in Windows 98. Mit dem Ergebnis, dass nach dem Neustart alle wieder da sind.

Habt ihr einen guten Tipp für mich?

Die Dinger nerven ohne Ende!

Danke im Voraus!

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

MrAnderson

Schuss ins Blaue: schau in die Registry (kommst Du hin über >Start >Ausführen >regedit [Enter])
Da gibt es meistens die Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices

Da verstecken sich so Trojaner meist. Wenn Du da was von denen siehst, also pdfenum.exe oder kalvorp32.exe, meist getarnt als was anderes, aber im Dateinamen immer noch gleich, dann kill den Eintrag. (Aber NUR den Eintrag und nichts anderes!) Anschließend einen Neustart machen


Oder Möglichkeit 2: im Task-Manager (Strg+Alt+Entf) nach den Dingern schauen und sie abschießen und dann löschen.

Es schadet in keinem Fall danach noch die automatischen Killer (also deine Software drüberlaufen zu lassen, damit Reste entfernt werden)

Polt

Danke, das ging ja flott!

Ja, in Run war ich schon, und da hab ich die kalvop32.exe gefunden und gelöscht, aber nach dem Neustart war sie wieder da. Die pdfenum.exe hab ich gar nicht gefunden.

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

Polt

Mr Anderson, die pdfendum hab ich dank deines Tipps Nr. 2 gekillt. die kalvorp32.exe ist widerstandsfähiger: Löschen des Eintrags in Run bringt nichts, und der taskmanager gibt mir auch keinen Hinweis.

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

MrAnderson

dann probier's mal so, dass Du im Registry-Editor den Arbeitsplatz (oder wie die höchte Ebene halt heißt) anklickst, und dann die ganze Registry durchsuchen lässt. (Strg+F glaub) markier auf jeden Fall alle Optionen bis auf "ganze Zeichenkette". Das sollte auf jeden Fall nicht markiert sein. Falls Du außerdem einstellen kannst, dass nach Groß- und Kleinschreibung unterschieden wird, dann das natürlich auch deaktiveren. Du weißt schon, möglichst wenig ausschließen. Als Suchstring gib am besten pdfenum oder auch nochmal kavolp32 an.

Ansonsten vielleicht tatsächlich mit Möglichkeit 2 probieren.

Wenn das alles nicht klappt, schau im Autostart-Ordner, ob sich was eingeschlichen hat. Außerdem in der c:\windows\win.ini (oder war's c::\windows\system.ini?) ob sich da in einer Zeile load=... oder run=... was eingenistet hat. Außerdem check mal, ob eine Datei namens winstart.bat existiert. Da kann sich sowas theoretisch auch festsetzen.

Polt

Danke für die Tipps, werde einen nach dem anderen ausprobieren!

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

MrAnderson

Hast Du probiert, sie jetzt zu löschen?

__________________
Erst wenn der letzte Informatiker eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, dass Anwälte nicht programmieren können.

Polt

Ja, lässt sich nicht löschen. Wird von Winsows verwendet. Soll ich im Taskmanager mal alles schließen und es dann versuchen?

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma

Polt

Habe nach kalvorp*.* gesucht, Registryeditor hat nix gefunden.

__________________
Tut man es im feuchten Gras,
mag das nicht der Ischias!
48. Poltsche Bauernregel, nach einer Eingebung von Gastreferent Magma