kungsfxmotboet.dll - Trojaner? (nicht löschbar)

[tobi512]

Hey Jungs,
hab grad n kleines Problem mit ner DLL namens kungsfxmotboet die sich in Windows/System32 befindet. Antivir zeigt mir dauernd die Meldung an dass diese DLL ein Trojanisches Pferd wäre und bietet mir alle Optionen außer Reparieren an. Wenn ich allerdings eine dieser Optionen wähle und Ok klicke wird paar Sekunden später das gleiche wieder angezeigt! Ich kann sie einfach nichts löschen und finden kann ich sie im Ordner System32 auch nicht!?
Bitte um Hilfe (vllt Rechteproblem-bin aber Admin...)
THX Gruß Tobi

 

[steuerzahler]

AW: kungsfxmotboet.dll - Trojaner??? (nicht löschbar)

Hast Du in den Ordneroptionen alle Versteckten und Systemdateien auf Anzeigen eingestellt.

 

[tobi512]

AW: kungsfxmotboet.dll - Trojaner??? (nicht löschbar)

Danke für die schnelle Antwort!
Ja hab ich schon gemacht aber hat nix geholfen. Hab jetzt mal kompletten durchlauf mit Antivir gemacht und dabei 2 Trojaner gefunden die er dann aber angeblich repariert hat.
Hab bis jetzt noch keine weitere Meldung bekommen...
Wenn ich doch je wieder ein bekommen sollte meinste ich solls mal mit dem versteckten Superuser versuchen damit s auf jeden Fall keine Rechteprobleme mehr gibt?
Hoff mal das wars! P.S. Freu mich schon auf den Umstieg von Vista zu Ubuntu :-)

 

[steuerzahler]

Ich würde das Fixen dann mit http://members.linzag.net/680262/HJT/HijackThis.html durchführen.

 

[tobi512]

Danke
Leider hat sich das Problem immer noch nicht gelöst und ich muss doch nur EINE einzige datei löschen!
Hab es gerade mal mit Killbox und "remove at reboot" probiert aber die DLL war danach immer noch da!
Was hab ich jetzt noch für Möglichkeiten (denke jetzt an Super User aktivieren und dann wenn die Meldung bei Antivir kommt einfach auf löschen klicken!
Denn ich habe herausgefunden dass Antivir die datei nicht löschen kann weil der Zugriff verweigert wurden. Denkst du da kann was passieren wenn ich Super Admin bin???
Auf diese Weise hab ich auch schon andere Probleme gelöst.
MfG Tobi

 

[Iron Plague]

Hast Du´s schon im abgesicherten Modus versucht? Falls ja, probier´s mal mit einer Rescue-CD.

 

[tobi512]

Ich raste gleich aus...
Habs jetzt mit allem probiert was ich kenne!!! (Auch abgesicherter Modus)
Gerade nochmal als Super Administrator mit Killbox auf etliche Weisen (normal, nach reboot löschen, nach reboot austauschen) aber es klappt einfach nicht!
Es kann doch nicht so schwer eine DLL zu löschen...

Kann das was damit zu tun haben dass ich beim allerersten Mal auf "Zugriff verweigern geklickt habe???

Originale Messages:
In der Datei 'C:\Windows\System32\kungsfxmotboet.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Danach gleich:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Windows\System32\kungsfxmotboet.dll
Fehlercode: [0x00000005 - Zugriff verweigert].

 

[Scheinweltname]

was noch helfen könnte: Lad dir mal Microsofts ProcessExplorer [1] runter und such mal den Prozess, der die Datei offenbar benutzt. Dabei könnte es ggf. schon reichen, wenn du den Prozess identifizierst, der das manuelle Löschen blockiert. (dafür gibt es im ProcessExplorer so ein "Fadenkreuz"-Ikon, darauf drücken, gedrückt halten und auf dem entsprechenden Meldungs-Fenster loslassen. Dann wird der Prozess in der Übersicht markiert). Außerdem kannst du auch einfach unter "suchen" den Namen der dll eingeben. Dann sollte der zugehörige Prozess gefunden werden.

Und wenn der Prozess vom System beim Booten gestartet wird, könntest du ihn über AutoRuns [2] deaktivieren. Dann sollte auch das Löschen möglich sein.

[1] http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx
[2] http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx

 

[Boogeyman]

@subtobe
Den Mist hast du dir selber installiert, das mal ganz nebenbei.

Ein Antiviren Programm soll eine Infektion verhindern, mit dem entfernen vom Malware hat jedes AV Probleme.
Wenn überhaupt noch ein vertrauenswürdiger Zustand zum wiederherstellen ist, dann solltest du mit einem bootbaren Scanner suchen und entfernen lassen.

Avira AntiVir Rescue System

http://www.f-secure.com/linux-weblog/
http://www.gdata.de/support/downloads/tools.html
usw.

 

[tobi512]

Ja sorry war grad bisschen genervt.
Habs grade mit der Rescue CD gemacht: ging beim ersten mal nicht, dann hab ich die Rescue CD upgedatet und erst dann hat es die Datei und auch noch eine andere gefunden und angeblich gelöscht. Wunderbar hab mich gefreut neu gestartet, angemeldet und plopp wieder 20 Meldungen von der DLL die ich zuvor gelöscht hatte, hä?
Ist die Datei beim Start wieder neu geschrieben worden oder was?
Ansonsten echt geiler Tipp das Rescue Center!
Werd jetzt mal die Methode von Scheinweltname probieren und rausfinden wer die Datei blockiert oder vermutlich auch neu schreibt.
Danke an alle die mir bisher geholfen haben!

 

[TBMule]

hier im Downloadbereich gibt es das Tool UNLOCKER damit kannst Du alle Datein löschen. Ebenso zeigt es Dir welche Exe, einen Lock auf die dll gesetzt hat, dann weißt auch wer Dir immer den Trojaner neuinstalliert.

 

[tobi512]

So Jungs
Vielen vielen Dank an alle die mir geholfen haben!

Das ganze hat letztendlich mit der Avira Antivir Rescue CD geklappt (auf neueste Version upgedatet).
Das Problem war das ich bei den ersten Malen nur 2 DLLs gelöscht habe, die beim Start aber wieder von einer Datei namens kungsfwldiwesc.sys (war in System32/Drivers) immer wieder erstellt wurden!
Beim 2ten Mal mit der Rescue CD hab ich jedoch auch noch diese Datei erfolgreich eliminiert und so wurden die TrojanerDLLs nicht neu geschrieben
Also ich kann die Rescue CD nur allen empfehlen und hoffe das die DLLs nciht wieder kommen!

Großes THX noch mal an alle die mir weitergeholfen haben und besonders an Iron Plague der mir den Tipp mit der Rescue CD gegeben hat!
MfG Tobi