ComputerBase Menü
Aktuelles

URSPM.DLL Antivir

PaddyG

PaddyG

Lieutenant
Registriert
Mai 2006
Beiträge
647
Hey Leute, habe hier mal wieder ein Problem für euch.

Heute kam ein Notebook rein mit dem Auftrag, den Trojaner bei der Datei "URSPM.DLL" im Ordner C:\Winnt\System32 zu löschen.

Antivir findet den Trojaner, kann die Datei jedoch weder reparieren noch löschen, da sie von Windows verwendet wird.

Im Abgesicherten Modus das gleiche Spiel.

Hatte zuerst die Idee, mit einer Knoppix CD den PC zu booten, dort dann Antivir durchlaufen zu lassen oder evtl. die Datei mit einer sauberen aus dem I-Net zu ersetzen. Nur leider bootet das Notebook nicht mit der Knoppix CD, es werden zwar einige Dateien geladen, danach bleibt der Bildschirm jedoch schwarz. Das Notebook ist ein IBM Think Pad T22.

Hat jemand eine Idee, wie man den Trojaner entfernen kann?
 
Geh ins I-Net und aktuallisiere AntiVir. Deaktiviere die Systemsteuerung und boote in den abgesicherten Modus >Klick<. Scane jede Datei des Systems. Notiere Dateinamen und Speicherort die der Virenscanner anzeigt.

Suche im Explorer die Datei. Ggf. müssen die geschützten Systemdateien im Windows Explorer eingeblendet werden, klicke: "Extras" - "Ordneroptionen" - "Ansicht" - Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren - "OK".

Lade dir die >KillBox< herrunter. Kopiere den Pfad in die Dialogbox und wähle "Delete on Reboot". Mach das mit allen bösen Dateien. Boote erneut in den abgesicherten Modus. Die Dateien sollten nun gelöscht sein.

Lade dir HiJackThis herunter und erstelle ein Log >Anleitung<. Erstelle eine 1. Analyse mittels >HiJackThis.de<. Notiere den Speicherort evt. böser Dateien und wiederhole das Löschen mit der Killbox. Fixe alle bösen Einträge im Log wiederum im abgesicherten Modus.

Boote erneut, mach einen Kontrollscan jeder Datei mit AntiVir und erstelle und analysiere ein neues HiJackThis Log und aktiviere abschließend wieder die Systemwiederherstellung.
 
Hatte ich vergesseb zu erwähnen, das Windows iss Win2000, hat keine Systemwiederherstellung. Aber die Idee mt Killboc iss gut, kannte das Programm davor noch gar nicht. Pfad der Datei habe ich ja schon....

berichte dann wie es gelaufen iss...

EDIT: So habe gerade Killbox ausprobiert. Hat leider nicht funktioniert. Verendet man die Funktion "Delete on Reboot" kommt die folgende Fehlermeldung:

PendingFileRenameOperations Registry Data has been Removed by External Process

auch ein manueller Neustart hilft nichts, die Datei wird einfahc nicht gelöscht.

Versucht man die Datei mit Killbox sofort zu löschen, kommt "Could not delete this File" oder so ähnlich. Es hilft auch nichts, mit Killbox die .dll zuerst zu unregistrieren oder die explorer.exe zu beenden, jedesmal die selbe Meldung.

Weitere Vorschläge?
 
Zuletzt bearbeitet:
Ich habe die KillBox Prozedur leider verkürzt dargestellt

KillBox:
Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Zum Vergrößern anklicken....

>Quelle<

Versuche es doch nochmal. KillBox funktioniert (bei mir). Alternativ werden auf der oben verlinkten Seite 2 alternative Möglichkeiten (Total Commander; eScan-Checkb9) beschrieben.
 
schon klar, genauso hab ich Killbox verwendeta, mit dem roten X....

aber bei mir ist es ja nur nur eine Datei, aber die lässt sich einfach nicht löschen, egal mit welcher Funktion... :-(
 
Ist der Schadcode überhaupt noch auf dem Rechner? Suche bitte zur Kontrolle mit dem Explorer den Schadcode, dazu müssen die geschützten Systemdateien im Windows Explorer eingeblendet werden.

"Extras" - "Ordneroptionen" - "Ansicht" - Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren - "OK".
Zum Vergrößern anklicken....
 
ja, der schadcode ist noch vorhanden, die existiert nach wie vor, und selbst wenn man sie nur "markiert" meldet AntiVir schon den Trojaner fund.
 
Kannst du den Virenfund von AniVir verifizieren? Wie bezeichnet (nennt) AntiVir den Trojaner? Scanne bitte die Datei auf virusscan.jotti.org/de. Poste bitte das Ergebnis.

Die Datei wird beim Googeln mit Adware in Verbindung gebracht. Lade >Ad-Aware< und >Spybot< aktuallisiere deren Signaturen und Scanne das System vollständig. Wird etwas gefunden?

Boote in den abgesicherten Modus. Ist die Datei dann auch in Benützung? Kannst du den Schädling im Task Manager identifizieren und ihn dort beenden? Und ihn dann im Explorer löschen?

Das System miitels HiJackThis untersucht?

Lade dir HiJackThis herunter und erstelle ein Log >Anleitung<. Erstelle eine 1. Analyse mittels >HiJackThis.de<. Notiere den Speicherort evt. böser Dateien und wiederhole das Löschen mit der Killbox. Fixe alle bösen Einträge im Log wiederum im abgesicherten Modus.
Zum Vergrößern anklicken....

Bei dir unbekannten Einträgen frage bitte nach! Ggf. kannst du das Log (bitte als angehängte Textdatei) hier im Thread.

Der Schadcode kann auch gelöscht werden und nach jedem Booten wieder hergestellt werden, indem dieser aus dem I-Net nachgeladen wird.
 
spybot und Ad-Aware habe ich natürlich beide schon durchlaufen lassen, bin ja kein Neuling. Haben beide dasselbe ergebnis gehabt wie AntiVir, Datei gefunden und identifiziert, aber nicht löschbar, da angeblich von Windows in Benutzung. Die Datei war auch im abgesicherten Modus in Benutzung, hatte ich ja schon ich ja schon ganz oben erwähnt.


Konnte den Trojaner nun löschen. Habe einfach mal von einer Bart PE CD gebootet und dort die Datei mittel DOS Rename Befehl in URSPMold.dll umbenannt. Habe danach neugestartet.

Windows hat zwar ewig lange gebootet, aber sich selbst geholfen. Hab nach dem Windows start im System32 Order 2 Dateien gefunden:

URSPMold.dll (natürlich immernoch laut AntiVir infiziert)
URSPM.dll (lauft Antivir sauber)

Windwos hat also anscheinend bemekrt, dass die Datei fehlt und eine neue erstellt. Wusste gar nicht, dass Windows 2000 so eine Funktion besitzt. Ich habe die Datei auch nochmal mit Spybot und Ad-Aware scannen lassen. Sagen beide die Datei wäre sauber.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Avira Antivir Ärger beim Abdoggen von Festplatten
2
Antworten
37
Aufrufe
3.350
Goldsmith
Goldsmith
E
ANTIVIR hat ausgeschlagen
Antworten
19
Aufrufe
1.321
Hauro
Hauro
H
Antivir Alternative?
Antworten
19
Aufrufe
3.311
Col. Faulkner
C
Andy
News Datenverkauf: Avast verkauft Nutzerdaten williger Antivir-Anwender
11 12 13
Antworten
244
Aufrufe
56.265
I'm unknown
I
matraj63
Update auf 1903 schlägt fehl - AVG Antivirus
2 3
Antworten
47
Aufrufe
3.866
BlackNinja2019
B

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz