gelöschte Dateien nach Re-Boot immer wieder da!

[_maxem_]

Hallo an die PC / Windows XP - Kenner,

 

ich habe mir hier den neuen Aldi Laptop (den Kleinen, für 399).

Alles fein soweit.

Es ist ein XP home daruf.

Ich habe auch ein Office 2003 aufgespielt.

KAV 8 (2009) dazu.

 

Nun habe ich einen Office-Patch gestartet (einen mir KB im Namen, nicht das SP), der startete, und fragte, wohin er sich entpacken sollte. Ich habe C:\temp angegeben.

Dorthin durden diverse BIN-Dateien und eine Setup.exe entpackt. Die Setup-Datei habe ich aufgerufen, das Programm meldetw soetwas wie: Kein zu patchendes Office gefunden.

Daruf hin habe ich das Temp gelöscht-

Nun sind aber die BIN-Dateien (nicht die setup.exe) nach jedem Re.Boot wieder da.

 

Wie bekomme ich diese weg bitte?

 

Die Systemwiederherstellung habe ich schonmal deaktiviert, Windows im abgesicherten Modus gestartet, dann die Dateien gelöscht. *PLÖPP* nach einem Reboot alle wieder da. Trotz deaktiver Systemwiederherstellung.

Unter "Software" finde ich nur das erfolgreich installierte SP3 für Office 2003.

 

Hat da Jemand eine Idee, was das noch sein kann?

 

Danke....

 

Link zum Bild

Hier mal ein Screenshoot.

[amdinside]

Hast Du eventuell ProgDVB auf Deiner Kiste ???

 

Sieht mir sehr danach aus....

[suicidecrew]

Ne VLC Mediaplayer wenn du die hütchen meinst ^^

[amdinside]

ui da haste recht.....das hab ich verwechselt....

[Slavedriver]

howdy folks;

hab hier ein kleines script was ins kontexmenue einen neuen Punkt "Löchen (nach Neustart)" einfügt. entpacken und doppelklick darauf und das wars dann. den ordner oder die datei dann rechts anklicken und den punkt auswählen.....

www.slavedrivers-home.de/dell.on.reboot.rar

eventuell hast du noch die systemwiederherstellung an - wenn das so ist, vorher ausschalten

[_maxem_]

Hast Du eventuell ProgDVB auf Deiner Kiste ???

 

Sieht mir sehr danach aus....

 

Ist VLC - aber was hat das mit meinem Problem zu tun bitte?

 

@ALL: Systemwiederherstellung ist AUS.

[amdinside]

Ich war falsch nicht Progdvb sondern VLC-Player...daher kommen Deine ganzen *.bin Dateien !!!

[_maxem_]

Ich war falsch nicht Progdvb sondern VLC-Player...daher kommen Deine ganzen *.bin Dateien !!!

 

Sorry, aber hast Du mein erstes Post gelesen und auch verstanden?

 

Ich hatte da geschrieben, woher die Dateien kommen. Ich bekomme sie aber nicht mehr gelöscht - bzw. sie sind nach jeden Reboot wieder da.

[grave_digga]

Leg doch das Temp Verzeichnis kurzfristig woanders hin in den Umgebungsvariablen. Dann müsstest Du nach einem Neustart auf jeden Fall den "alten" Temp Ordner löschen können. Oder Du startest von der XP CD und gehst dann auf R für Reperatur und dann auf K, ich glaube das ist dann die Notfallreperaturkonsole. Dort kannst Du mit DOS Befehlen auch die Dateien im Temp Verzeichnis löschen.

[_maxem_]

Leg doch das Temp Verzeichnis kurzfristig woanders hin in den Umgebungsvariablen. Dann müsstest Du nach einem Neustart auf jeden Fall den "alten" Temp Ordner löschen können. Oder Du startest von der XP CD und gehst dann auf R für Reperatur und dann auf K, ich glaube das ist dann die Notfallreperaturkonsole. Dort kannst Du mit DOS Befehlen auch die Dateien im Temp Verzeichnis löschen.

 

 

Das Problem ist eine wohl nicht so einfach abschaltbare Systemwiederherstllung. Die nach den Einstellungen zwar auf AUS steht, aber trotzdem die Dateien wiederherstellt.

Wo der Temp-Ordner ist spielt dabei keine Rolle.

Ich lösche - Windows stellt wiederher - egal wo der Ordner ist (%TEMP%) und auch wenn ich im Abgesicherten Modus starte und da das Temp lösche. Neustart -> Dateien wieder da.

 

(Das NEtbook hat kein CD-Laufwerk. Nur die OIption eines Total-Recover, das ich vermeiden möchte, da ich schon viel Zeug installiert habe.)

 

Frage: Wie und WO merklt sich das Windows die Dateien, die es dann wiederherstellt?

[grave_digga]

Hmm, wenn Du den Ordner von C:\Temp eben auf C:\Muell änderst in den Umgebungsvariablen müsste er dann dieses Verzeichnis als temporäres Verzeichnis nutzen. In diesem Verzeichnis werden doch sicher dann nicht diese .bin Dateien wiederhergestellt, oder? Wenn das dann so ist dann kannste doch C:\Temp komplett löschen, dann neu starten und nach dem Neustart die Variable wieder auf C:\Temp setzen und nochmal neu starten und C:\Muell nach dem Neustart wieder löschen. So hatte ich das eigentlich gemeint.

[Firefox]

Könnte auch ein Problem von mehreren Benutzerkonten sein... Adminrechte?

 

Versuch mal das hier aber ich weiß nicht ob das mit installierten Servicepacks noch funzt.

[merkwuerden]

@_maxem_

 

Das Problem ist eine wohl nicht so einfach abschaltbare Systemwiederherstllung. Die nach den Einstellungen zwar auf AUS steht, aber trotzdem die Dateien wiederherstellt.

Wo der Temp-Ordner ist spielt dabei keine Rolle.

Ich lösche - Windows stellt wiederher - egal wo der Ordner ist (%TEMP%) und auch wenn ich im Abgesicherten Modus starte und da das Temp lösche. Neustart -> Dateien wieder da.

Da wird wohl das Setup über einen Autostart-Eintrag bei jedem normalen Systemstart wieder initialisiert. Und wenn der Office-Patch über den MSI (Microsoft Installer) gesteuert wird, ist die ursprüngliche setup.exe dazu u.U. gar nicht mehr nötig, Windows legt sich dazu einen MSI-Cache an, worin das Setup versteckt ist, standardmäßig in %SystemRoot%\Installer mit meist nichts sagenden Class-IDs oder anderweit nicht offensichtlichen Dateinamen.

 

Abgesehen davon gibt es generell mehrere Pfade für TEMP:

systemweit für alles, was Windows selbst verwaltet: %SystemRoot%\Temp

für jeden existierenden User zusätzlich: %USERPROFILE%\Lokale Einstellungen\Temp

Wenn, mußt Du alle Temp-Einstellungen entsprechend ändern (über Systemsteuerung -> System -> Erweitert -> Umgebungsvariablen, dort nicht nur die Benutzervariablen sondern auch Systemvariablen mit anpassen).

 

Besorge Dir mal Autoruns aus den Windows Sysinternals und analysiere mal, was da alles so gestartet wird. Es gibt da etliche viele Registryzweige, die Autostart-Funktionalität haben, nicht nur der normale im Startmenü sichtbare "Autostart" und die allgemeinen RUN-Schlüssel. Du dürftest überrascht sein.

 

Mit Autoruns müßtest Du eigentlich dann drauf kommen, woher das Setup des Office-Patches aufgerufen wird, sollte dann irgendwas mit KBxxxxxx drin auftauchen. Unter "Options" kontrollieren, daß "Hide Microsoft Entrys" nicht angehakt ist, denn der Office-Patch wird sich sicher als MS-Eintrag melden. Du kannst auch die Einträge anderer auf dem PC eingerichteten User prüfen, oben über "Users" wechseln. Für alles mußt Du aber zwingend mit Administrator-Rechten angemeldet sein.

 

Den Eintrag des Patches kannst Du mit Autoruns dann aus der Registry auch gleich entsorgen, erst mal nur deaktivieren (Haken vor dem Eintrag raus). Danach sollte der Spuk vorbei sein. Wenn ja, kannst Du dann den Eintrag per Autoruns komplett löschen (Rechtsklick -> Delete) und auch noch das Verzeichnis entsorgen, das den Office-Patch beinhaltete.

 

Mache aber vorsichtig, mit Autoruns kann man sich sein System auch prima lahmlegen, wenn man die falschen Einträge tot legt. Daher unbedingt erst deaktivieren und neu booten, damit Du siehst, ob irgendwas dann ungewohnt reagiert. Im abgesicherten Modus läßt sich das dann noch richten, indem man entsprechende Einträge wieder aktiviert. Trotzdem sollte man sich ein Backup (Systemwiederherstellungspunkt) anlegen...

 

 

@grave_digga

 

Hmm, wenn Du den Ordner von C:\Temp eben auf C:\Muell änderst...

Genau das nützt absolut null, wenn das Setup aus einem Installercache gestartet wird. Windows sieht beim Systemstart das neue TEMP-Verzeichnis und nutzt damit dieses. Und ändert man das später wieder zurück, merkt Windows das auch.

Ebenfalls bringt das Löschen der TEMP-Variablen nichts. Wenn man Pech hat, landet der Müll dann im Root des Windows-Laufwerkes oder sonstwo in der Installation.

Hier hilft einzig und allein: herausfinden, von wo aus der Patch gestartet wird, den Autostarteintrag dazu deaktivieren und das Quellverzeichnis entsorgen. Anders wird man solche "Störenfriede" nicht los, Windows ist da hartnäckig.

[_maxem_]

Mehrfachpost gelöscht - gab nen Fehler beim "senden" (mehrfach)

[_maxem_]

Mehrfachpost gelöscht.

[_maxem_]

@_maxem_

 

Abgesehen davon gibt es generell mehrere Pfade für TEMP:

systemweit für alles, was Windows selbst verwaltet: %SystemRoot%\Temp

für jeden existierenden User zusätzlich: %USERPROFILE%\Lokale Einstellungen\Temp

Wenn, mußt Du alle Temp-Einstellungen entsprechend ändern (über Systemsteuerung -> System -> Erweitert -> Umgebungsvariablen, dort nicht nur die Benutzervariablen sondern auch Systemvariablen mit anpassen).

 

Habe ich so gemacht - stehen alle auf "C:\temp"

 

Besorge Dir mal Autoruns aus den Windows Sysinternals und analysiere mal, was da alles so gestartet wird. Es gibt da etliche viele Registryzweige, die Autostart-Funktionalität haben, nicht nur der normale im Startmenü sichtbare "Autostart" und die allgemeinen RUN-Schlüssel. Du dürftest überrascht sein.

 

Habe ich auch gemacht, hier das Ergebniss, das ijn einigen Punkten stutzig macht:

(Besonders die Parts zum Ende, wo zig mal der Eintrag:

"+ 00000000000x Microsoft Windows Sockets 2.0-Dienstanbieter Microsoft Corporation c:\windows\system32\mswsock.dll"

(kann man auch nicht deaktivieren, sondern nur löschen - deshalb hab ich da noch nichts gemacht)

vorkommt. Warum auch immer der so oft da ist, und was auch immer das zu bedeuten hat. Keine Ahnung.

Die Einträge mit "File not found" in den "RUNS" kann ich erklären, die stammen auf einem Versuch diverse Sachen aus den "Runs" aus zukomentieren, in dem ich vor die Zeile ein "#" gesetzt habe, anstelle den Key zulöschen.

Die "File not found" in den anderen Parts der Registry kann ich dagegen nicht erklären.

 

viel unnützes Code-Zeug gelöscht.

 

 

Mit Autoruns müßtest Du eigentlich dann drauf kommen, woher das Setup des Office-Patches aufgerufen wird, sollte dann irgendwas mit KBxxxxxx drin auftauchen. Unter "Options" kontrollieren, daß "Hide Microsoft Entrys" nicht angehakt ist, denn der Office-Patch wird sich sicher als MS-Eintrag melden. Du kannst auch die Einträge anderer auf dem PC eingerichteten User prüfen, oben über "Users" wechseln. Für alles mußt Du aber zwingend mit Administrator-Rechten angemeldet sein.

 

 

Den Eintrag des Patches kannst Du mit Autoruns dann aus der Registry auch gleich entsorgen, erst mal nur deaktivieren (Haken vor dem Eintrag raus). Danach sollte der Spuk vorbei sein. Wenn ja, kannst Du dann den Eintrag per Autoruns komplett löschen (Rechtsklick -> Delete) und auch noch das Verzeichnis entsorgen, das den Office-Patch beinhaltete.

 

Mache aber vorsichtig, mit Autoruns kann man sich sein System auch prima lahmlegen, wenn man die falschen Einträge tot legt. Daher unbedingt erst deaktivieren und neu booten, damit Du siehst, ob irgendwas dann ungewohnt reagiert. Im abgesicherten Modus läßt sich das dann noch richten, indem man entsprechende Einträge wieder aktiviert. Trotzdem sollte man sich ein Backup (Systemwiederherstellungspunkt) anlegen...

 

Danke, ich kann das aber nicht alles zu 100% deuten. Evtl. Du ?

 

Danke schon mal für die Tipps, die ich auch mal antesten werde.

Ergebnisse poste ich wieder hier.

[merkwuerden]

Wieso postest Du denn den ganzen Krempel dreimal? Einmal hätte auch gereicht. Editiere mal die anderen beiden Beiträge und lösch den Kram, ist sonst reichlich unübersichtlich hier.

 

Habe ich auch gemacht, hier das Ergebniss, das ijn einigen Punkten stutzig macht:

(Besonders die Parts zum Ende, wo zig mal der Eintrag:

"+ 00000000000x Microsoft Windows Sockets 2.0-Dienstanbieter Microsoft Corporation c:\windows\system32\mswsock.dll"

(kann man auch nicht deaktivieren, sondern nur löschen - deshalb hab ich da noch nichts gemacht)

vorkommt. Warum auch immer der so oft da ist, und was auch immer das zu bedeuten hat. Keine Ahnung.

Lasse das um Gotteswillen in Frieden, das sind lebensnotwendige Windows-Einträge! Andernfalls machst Du Dir Dein Windows gründlich kaputt, dann heißt es Reparaturinstallation oder gar Neuinstall. Insgeamt ignoriere alle MS-Einträge, so lange sie mit dem KB-Patch nichts zu schaffen haben, das paßt schon, so lange bei Publisher "Microsoft Corporation" steht. Per Rechtsklick auf einen solchen Eintrag und Properties (bzw. ALT-Enter) bekommst Du auch den Dateieigenschaften-Dialog der Datei, die dahintersteckt. Dort kannste Dich auch nochmal rückversichern.

 

Die Einträge mit "File not found" in den "RUNS" kann ich erklären, die stammen auf einem Versuch diverse Sachen aus den "Runs" aus zukomentieren, in dem ich vor die Zeile ein "#" gesetzt habe, anstelle den Key zulöschen.

Die "File not found" in den anderen Parts der Registry kann ich dagegen nicht erklären.

Alles, wo "File not found" steht, und was Du nicht bewußt "verbogen" hast, kannst Du ungeschaut sofort löschen. Windows kann diese Einträge sowieso nicht initialisieren, weil es die Datei dazu nicht finden kann. Das sind Registry-Leichen (selbst Windows-Setup legt sowas unter Umständen bei der Installation mit an) und bremst nur sinnloserweise den Systemstart aus. Also weg mit dem Gelumpe.

 

Und dann tu mir mal bitte einen Gefallen: speichere das gesamte Brimborium (nicht Export, sondern Save!), packe das mit Zip und lade das mal irgendwo bei einem Filehoster (nicht Rapidshare, gegen den Dreck bin ich mittlerweile allergisch!) hoch, z.B. bei File-Upload.net. Dann kann ich das in AutoRuns einlesen, macht die Analyse um etliches einfacher. So werd ich hier wirr in der Birr'.

 

Mache das bitte für alle (!) User des PCs, auch für den Administrator. Kannst Du oben über "User" auswählen. Jedes Log einzeln abspeichern bitte.

 

Nenne mir bitte auch die komplette KB-Nummer des Patches, der da jetzt Unfug fabriziert. Vielleicht kann man daraus auch was entnehmen, wenn man das Paket zerpflückt. Letzteres sollte möglich sein.

[_maxem_]

Wieso postest Du denn den ganzen Krempel dreimal? Einmal hätte auch gereicht. Editiere mal die anderen beiden Beiträge und lösch den Kram, ist sonst reichlich unübersichtlich hier.

 

Wei ich beim Posten einen Datenbankfehler bekommen habe und habs nochmal gepostet, bis es ging.

 

die Daten habe ich da abgelegt, wie gewünscht.

 

 

Gruß + Dank,

 

Max

[merkwuerden]

Hm... anhand der arn-Dateien scheint da nix Auffälliges gestartet zu werden. Oder ich hab Tomaten auf den Glotzen, nach fünf Bieren nicht ganz auszuschließen.

 

Gib mir doch bitte mal die KB-Nummer dieses Mist-Patches, eventuell kommen wir da noch weiter. Irgendwie scheint sich das Dings ganz ordentlich im System zu verstecken.

[nignag]

Warum gibst Du hier nicht auch mal die Infos wie im anderen Forum?

 

office2003-kb923348-deu entpackt bei mir keine .exe und auch keine .bin Geht es um den Hotfix? Oder bist Du das nicht in dem Forum? Namen sehen ziemlich ähnlich aus...

 

Bist Du Dir zu 200% sicher, dass diese .bin nicht schon vorher da waren und der Patch wirklich eine .exe plus diese .bin angelegt hat? Woher hast Du den Patch/Hotfix? Hoffentlich nicht von irgendwo, sondern von M$ selber

 

Kann mal wer mit O2003 schauen, ob er auch diese Dateien (.bin) auf dem System hat?

Ich glaube langsam, dass die von O2003 selber stammen und darum immer wieder neu angelegt werden.

 

Wenn ich google anwerfe, dann finde ich ohne Ende Threads mit den Dateinamen

 

Jetzt kommt das Problem: In den Threads geht es fast nur um Viren/Trojaner/Rootkits und in vielen kann man an den Pfaden/Namen sehen, dass dort auch O2003 installiert ist.

 

Entweder stammen die Files also von O2003. Oder halt von einem Schadprogramm.

 

Darum auch meine Frage nach jemandem mit O2003. Hat derjenige die Dateien auch im Temp, dann kommen die von O2003. Sonst würde ich mal gezielt mit anderen Tools nach Malware und speziell Rootkits suchen bzw. die Kiste neu aufsetzen.

 

Aber erstmal auf Meldung von jemandem mit O2003 warten.

 

@merkwuerden

Sorry, aber da möchte ich Dir in einer Sache widersprechen. Auf keinen Fall pauschal alles löschen, wo keine Datei vorhanden ist. Habe ich auch mal gedacht wäre logisch und sinnvoll, aber... man muss schon sehr genau wissen, was man da macht.

 

Siehe z.B. im Sysinternals Forum (besonders die Postings vom Mod)

http://anonym.to/?http://forum.sysinternal...ts.asp?TID=5226

http://anonym.to/?http://forum.sysinternal...=11781&PN=1

 

btw

@_maxem_

 

chkdsk abzubrechen ist auch nicht immer sinnvoll. Autoruns zeigt auf alle Fälle, dass Dein System mal ein chkdsk machen möchte

[_maxem_]

Warum gibst Du hier nicht auch mal die Infos wie im anderen Forum?

war keine Absicht - oder glaubst Du das?

 

office2003-kb923348-deu entpackt bei mir keine .exe und auch keine .bin Geht es um den Hotfix? Oder bist Du das nicht in dem Forum? Namen sehen ziemlich ähnlich aus...

 

Bist Du Dir zu 200% sicher, dass diese .bin nicht schon vorher da waren und der Patch wirklich eine .exe plus diese .bin angelegt hat? Woher hast Du den Patch/Hotfix? Hoffentlich nicht von irgendwo, sondern von M$ selber

 

Ja, es geht um das Office-Patch, wie Oben genannt,

ja, ich war das in dem anderen Forum, das aber keine Infos gebracht hat - jedenfalls kam keine bei mir an.

 

Ich versuche halte alles, was mir helfen könnte.

 

Ich teste den Patch gleich in einer VM-Ware...

 

Die o.g. Exe entpackt sich in einen Ordner, der ausgewählt werden kann.

Es liegt dann da:

GERMUI.msp

MSSP3GE.msp

und 2 txt-dateien.

 

* Ohne Office-Paket passiert da gar nichts. Da kommt ein Warnhinweis und ende.

 

Mit dem selben Office, ohne SP2 kommt auch nichts. Ich bekomme keinen Vorgang, der die *.BIN's entpackt.

Komisch alles....Ich bekomme die Situation nicht mehr nachgestellt....

 

Kann mal wer mit O2003 schauen, ob er auch diese Dateien (.bin) auf dem System hat?

Ich glaube langsam, dass die von O2003 selber stammen und darum immer wieder neu angelegt werden.

 

Wenn ich google anwerfe, dann finde ich ohne Ende Threads mit den Dateinamen

 

Jetzt kommt das Problem: In den Threads geht es fast nur um Viren/Trojaner/Rootkits und in vielen kann man an den Pfaden/Namen sehen, dass dort auch O2003 installiert ist.

 

Entweder stammen die Files also von O2003. Oder halt von einem Schadprogramm.

 

Darum auch meine Frage nach jemandem mit O2003. Hat derjenige die Dateien auch im Temp, dann kommen die von O2003. Sonst würde ich mal gezielt mit anderen Tools nach Malware und speziell Rootkits suchen bzw. die Kiste neu aufsetzen.

 

Aber erstmal auf Meldung von jemandem mit O2003 warten.

 

@merkwuerden

Sorry, aber da möchte ich Dir in einer Sache widersprechen. Auf keinen Fall pauschal alles löschen, wo keine Datei vorhanden ist. Habe ich auch mal gedacht wäre logisch und sinnvoll, aber... man muss schon sehr genau wissen, was man da macht.

 

Siehe z.B. im Sysinternals Forum (besonders die Postings vom Mod)

http://anonym.to/?http://forum.sysinternal...ts.asp?TID=5226

http://anonym.to/?http://forum.sysinternal...=11781&PN=1

 

btw

@_maxem_

 

chkdsk abzubrechen ist auch nicht immer sinnvoll. Autoruns zeigt auf alle Fälle, dass Dein System mal ein chkdsk machen möchte

 

OK.. Danke soweit...

[merkwuerden]

Ja, es geht um das Office-Patch, wie Oben genannt

Und warum postest Du die Information nicht gleich? Ich hatte Dich das auch schon mal gefragt:

 

Nenne mir bitte auch die komplette KB-Nummer des Patches, der da jetzt Unfug fabriziert. Vielleicht kann man daraus auch was entnehmen, wenn man das Paket zerpflückt. Letzteres sollte möglich sein.

Kam allerdings keine Reaktion drauf.

Sorry, aber so macht das keinen Spaß, jemandem helfen zu wollen, wenn nicht mal die angefragten Informationen rausgerückt werden.

 

Die o.g. Exe entpackt sich in einen Ordner, der ausgewählt werden kann.

Es liegt dann da:

GERMUI.msp

MSSP3GE.msp

und 2 txt-dateien.

Mehr gibt es in der EXE-Datei auch nicht. Die beiden *.MSP Dateien sind Windows Installer Patchfiles, die den Rest enthalten.

 

Mit dem selben Office, ohne SP2 kommt auch nichts. Ich bekomme keinen Vorgang, der die *.BIN's entpackt.

In den beiden MSPs sind auch keinerlei *.BIN enthalten. Ich hab die beiden Kandidaten per Hexeditor zerpflückt (anders kommt man ohne MS-Office nicht ran, und solchen Müll installiere ich auf meinem PC auch nicht mehr), da ist nix mit BIN drinnen. Das ist der Inhalt beider MSPs:

 

CONTAB32.DLL
DUMPSTER.DLL
EMABLT32.DLL
EMSABP32.DLL
EMSMDB32.DLL
EMSUI32.DLL
MAPIR.DLL
MSAIN.DLL
MSMAPI32.DLL
MSOINTL.DLL
MSPST32.DLL
mssp3en.lex
mssp3gep.lex
msspell3.dll
OUTEX.DLL
OUTLLIBR.DLL
OWCI10.DLL
PPINTL.DLL
PSTPRX32.DLL
SCANPST.EXE
WWINTL.DLL
XLINTL32.DLL

Mehr ist nicht.

Also stammen Deine BINs definitiv nicht aus dem KB-Patch, mal ganz abgesehen davon, daß ein deutsches Office-Update wohl kaum irgendwelche arabischen, tschechischen und weiß der Deibel sonst noch was für Dateien enthält. Und daß Office von sich aus solche Dateien im TEMP anlegt, wäre auch äußerst ungewöhnlich. Ich kann mir's jedenfalls kaum vorstellen, benutze den Mist aber auch schon seit Jahren nicht mehr.

 

Komisch alles....Ich bekomme die Situation nicht mehr nachgestellt....

Wie - ist das Problem jetzt verschwunden oder nicht? Wenn letzteres, würde ich an Deiner Stelle die betroffene Kiste mal gründlichst auf Viren, Trojaner, Rootkits und dergleichen scannen, und zwar von einer speziellen Start-CD aus (Bart PE z.B., selber zusammenstellen, und zwar nicht auf dem verdächtigen Rechner!). Von PC-Welt gibt es da auch eine vorbereitete Version, klick bitte, Anleitung dazu beachten.

 

Wenn z.B. ein Rootkit installiert und aktiv ist, haben viele Virenscanner Probleme damit, das überhaupt noch zu erkennen. Bis hin zu dem Fall, daß der Virenscanner selber nutzlos wird, weil er vom Rootkit tot gelegt wird. Und im Hintergrund kann dann Schadsoftware alles Mögliche anstellen... deswegen Scan mit einer speziellen Boot-CD und den darauf enthaltenen Tools, der kann kein Rootkit von einer Festplatte aus was, denn das potentiell befallene System wird ja nicht gestartet.

 

Von VLC jedenfalls stammen diese BINs ebenfalls nicht (auch wenn sie das VLC-Hütchen haben), denn im gesamten VLC-Paket gibt es keine einzige BIN-Datei. Die VLC-Sprachdateien sind *.MO und heißen alle vlc.mo.

 

Ich will ja nicht unbedingt den Teufel an die Wand malen, aber ich fürchte, Du hast ein ernsteres Problem...

[_maxem_]

Und warum postest Du die Information nicht gleich? Ich hatte Dich das auch schon mal gefragt:

Kam allerdings keine Reaktion drauf.

Sorry, aber so macht das keinen Spaß, jemandem helfen zu wollen, wenn nicht mal die angefragten Informationen rausgerückt werden.

Hallo?

Das ist/war doch keine Absicht!

Mir ist sehr WOHL an einer Lösung gelegen, und bitte: Tut doch bitte nicht so, als würde ich ABSICHTLICH Infos nicht liefern (wollen).

Das ist nicht der Fall - hier wird mir schon sehr stark und wesentlich mehr und besser geholfen, als in dem anderen Forum.

Dank nochmals an alle HElfer dafür.

 

Mehr gibt es in der EXE-Datei auch nicht. Die beiden *.MSP Dateien sind Windows Installer Patchfiles, die den Rest enthalten.

Also stammen Deine BINs definitiv nicht aus dem KB-Patch, mal ganz abgesehen davon, daß ein deutsches Office-Update wohl kaum irgendwelche arabischen, tschechischen und weiß der Deibel sonst noch was für Dateien enthält. Und daß Office von sich aus solche Dateien im TEMP anlegt, wäre auch äußerst ungewöhnlich. Ich kann mir's jedenfalls kaum vorstellen, benutze den Mist aber auch schon seit Jahren nicht mehr.

 

Wie - ist das Problem jetzt verschwunden oder nicht? Wenn letzteres, würde ich an Deiner Stelle die betroffene Kiste mal gründlichst auf Viren, Trojaner, Rootkits und dergleichen scannen, und zwar von einer speziellen Start-CD aus (Bart PE z.B., selber zusammenstellen, und zwar nicht auf dem verdächtigen Rechner!). Von PC-Welt gibt es da auch eine vorbereitete Version, klick bitte, Anleitung dazu beachten.

Nein, das Problem besteht weiterhin.

Es ist das MEDION Netbook - OHNE optisches Laufwerk. Ich guck mal, ob das Booten von USB-Stick möglich ist.

 

Wenn z.B. ein Rootkit installiert und aktiv ist, haben viele Virenscanner Probleme damit, das überhaupt noch zu erkennen. Bis hin zu dem Fall, daß der Virenscanner selber nutzlos wird, weil er vom Rootkit tot gelegt wird. Und im Hintergrund kann dann Schadsoftware alles Mögliche anstellen... deswegen Scan mit einer speziellen Boot-CD und den darauf enthaltenen Tools, der kann kein Rootkit von einer Festplatte aus was, denn das potentiell befallene System wird ja nicht gestartet.

Virenscanner ist drauf, Kaspersky 2009.

 

Von VLC jedenfalls stammen diese BINs ebenfalls nicht (auch wenn sie das VLC-Hütchen haben), denn im gesamten VLC-Paket gibt es keine einzige BIN-Datei. Die VLC-Sprachdateien sind *.MO und heißen alle vlc.mo.

 

Ich will ja nicht unbedingt den Teufel an die Wand malen, aber ich fürchte, Du hast ein ernsteres Problem...

Gibt es ausser dem Booten von einem USB-Stick (da ja kein optisches LW da ist) einen anderen Weg, die Kiste auf so Zeug zu scannen?

[merkwuerden]

Virenscanner ist drauf, Kaspersky 2009.

Falls der aber eventuell nichts von einer Rootkit-Installation mitbekommen haben sollte, ist er dagegen erst recht machtlos. Rootkits greifen sehr tief auf Kernel-Ebene in das System ein und verbergen sich selbst (und damit auch vor Virenscannern, sobald das System gebootet wird).

 

Gibt es ausser dem Booten von einem USB-Stick (da ja kein optisches LW da ist) einen anderen Weg, die Kiste auf so Zeug zu scannen?

Wenn ich's richtig gesehen habe, müßte die PC-Welt-Version von Bart PE sich auf USB-Stick einrichten und von dort aus booten lassen. Andernfalls könnte man die Festplatte ausbauen und an einem anderen, garantiert virenfreien PC scannen. Aktuellste Signaturdateien sollten natürlich für den Virenscanner installiert sein. Solange von der verdächtigen Platte keinerlei Dateien ausgeführt werden, ist normal kein Risiko, damit einen anderen PC zu infizieren. Adapter für 2,5'' Platten an IDE oder auch USB gibt es zu kaufen.