Supportnet / Forum / WindowsXP

Wofür ist die Datei "up32.pif" im System32 Ordener bei XP?

hallo
up32.pif gibs bei meiner XP-Installation nicht....

Und was könnte es dann noch sein?

Weder Virenscanner noch Ad-Aware haben es entfernt.

Es sendet aber wie verrückt.

wie es sendet ? weißt Du wohin und/oder was es sendet ?

welche Prozesse laufen (Ctrl-Alt-Del) ?

hast Du ´ne Firewall mit der Du dem Senden ein Ende machen kannst ?

ansosnsten: Stecker ziehen bis man was genaues weiß.

Die einzige PIF im system32 Ordner ist die command.PIF(bei mir).

Sieht nach Virus/Trojaner aus.
Mach ein Update deiner Scanprogramme oder benutze andere.

Du kannst auch mal einen online-scan der Datei machen. http://www.kaspersky.com/de/scanforvirus

Nicht erkannt oder erkannt und nicht entfernt?

Nicht erkannt.

Allerdings finde ich die Datei auch nicht im Explorer, obwohl ich alle Dateien anzeigen lasse.

geschützte Systemdateien nicht ausblenden, Inhalt von Systemordnern anzeigen, alle Dateien und Ordner anzeigen.

Hallo,

XP benötigt keine PIF - Dateien mehr, das ist ein
Überbleibsel aus DOS Zeiten.

Suche in der Registry den Oprder PIF und benenne
ihn um, zB PI_

Dann bist Du soche Probleme los.

Übrigens: Hinter der Bez. PIF können sich auch
EXE und andere Dateien verstecken, das freut die Würmer und Trojaner, sowie Spionage-Programme

Gruß
Meik

Hallo!

Hatte auch die "up32.pif" auf meinem Rechner - Nach einem kompletten Scan mit meinem AV-Prog von Symantec wurde die Datei "update.pif" von meinem Rechner entfernt und so auch die up32.pif.

MfG
ThaBan

@Meik


Das hast du leider falsch verstanden.
XP selbst benötigt die nicht, aber es gibt immer noch MS-DOS Anwendungen, die auf die Unterstützung angewiesen sind.

Falls du es nicht glaubst,
Start-Ausführen
command.com und Enter
was da wohl erscheint?
Nun darfst du staunen.
mfg
Michael Bormann

Can someone please tranlate this thread to English? Trying to find out about "up32.pif"... is it okay or is it a worm or virus?

Thanks for any assistance.

Sandi

@Sandi

seems we´re going to find out what it is.

at another thread https://supportnet.de/threads/1166490 it´s reported up32.pif can´t be terminated.

what´s your experiance with it ? what´s the problem you have ?

It is coming up in the "processes" in the task manager. There are two (2) of them running at the same time. I have never seen it there before. Our tech person has been trying to get rid of a virus that was downloaded to us from the state. The last one identified was using "updates.pif".

I cannot end the up32.pif process either. It tells me access denied.

I did a "Google" search on up32.pif and found your forum. It was the only return on Google.

Thanks for any help.

Sandi

Also, since I am trying to understand your forum .. I think I just determined this is in a windows xp thread. However, I am currently using Windows2000 professional version.

Thanks for any help.

S

@Sandi

following answer 8 a scan with symantec AV-programm removed the update.pif and since that the up32.pif is gone.

you may search at symantec and/or sophos for keyword "update.pif" to find out about worms/viruses using that file.

what was the virus on your system ?

@airBeck




Hallo
Starte dein Windows im ABGESICHERTEN Modus
Menü:START /AUSFÜHREN CMD (enter)
--> DOS-BOX
wechsle nach Windows-System32

Befehl : cd\windows\system32

bei Interesse gen kannst Du dir alle Dateien wie folgt
ansehen : Befehl: dir . |more

zum löschen gebe ein:
attrib up32.pif -s -h -r (enter)
del up32.pif (enter)

ich hoffe es klappt

sofern die Datei nach Neustart wieder da ist..hast du noch was parasitäres drauf
mfg cofa

@ sandy
try that
start windows in SAFE-mode
START/RUN CMD
change to the destination-path with

cd\windows\system32 (enter)

reset hidden/system attribute with
attrib up32.pif -s -h -r (enter)

delete the file with: DEL up32.pif (if possible :)) )

start windows and scan your PC with the newest virus and anti-spyware-program

use hijackthis (www.hijackthis.de ) for analyze registry-RUN and BH objects

greetings
Ralf

We found 3

W32.Spybot.WOE, W32.Toxbot.EXE, and Backdoor.Trojan

We have installed and used Norton Corporate. The original clue to the existance of a problem was the mouse pointer suddenly changed to an hour glass and stayed there. As if a program was running in the background. We then confirmed sudden cpu usage spiking and holding at 100% on the task manager and finding the updates.pif (2 of them) in the processor. Once we ran the updated Norton Corporate and confirmed it was deleted from the registry, everything seemed to be going ok for a couple of days.

Then once again, the hour glass issue just suddenly popped back up. But this time, it is the "up32.pif" (2 of them) running in the processor with no programs running.

The CPU usage spikes up and down, and the up32.pif spikes cpu usage itself from 2 to 32 % and back down again continually.

It´s almost as if it has reinvented itself under a new name.

Normally, If I find something in the processor that I don´t know what it is, I can research it and get a good idea if it´s a Windows function or not. I did not get anything but this thread on your forum when I did a Google search on up32.pif.

Doesn´t seem to be a lot of info out there.

Hi Ralf,

Thanks to everyone for helping.

Has anyone confirmed what exactly up32.pif is?

I don´t want to delete it if it is really part of the operating system.

Checking Symantec´s site now.

S

Was macht denn Air-Beck seine pif?

die PIF ist weg,

aber jetzt hab ich die Datei "smsc.exe" und "isass.exe" die die ganze zeit senden...

Trotz 2 aktuellen Virenscanner, Ad aware und Spybot...


So und nun?

na jetzt wird es hell im Schattenreich ...

zu den beiden zuletzt von Air-Beck genannten Dateien findet man bei Google etliche Hinweise. nicht unbedingt beruhigend, aber besser als gar nichts.

mein Vorschlag: security aktualisieren, Systemwiederherstellung deaktivieren, im abgesicherten Modus scannen und sehen, was wieder hochkommt von dem Unkraut.

Wie erwähnt, scanne mal erneut, was finden denn deine Programme, nichts?

Jetzt finden die Programme schon was....

Aber immer die selben Dateien.

Ich hab schon versucht sie in die Quarantäne verschoben, schon überschrieben und gelöscht, einfach nur gelöscht, aber sie sind immernoch da.
Alle Sachen hat Antivir XP durchgeführt.

Tipps?

-Windows Update
-Systemwiederherstellung deaktivieren
-Start/Ausführen/msconfig >> alle Systemstarteinträge deaktivieren
-im abgesicherten Modus starten, scannen, Probleme beheben
-neu starten, noch mal scannen
-HijackThis mal laufen lassen, online auswerten, findet das was?
-gewünschte Systemstarteinträge wieder aktivieren
-Systemwiederherstellung aktivieren
-Sicherheitseinstellungen und -verhalten prüfen
-PC benutzen, erneut scannen

isass = ehemals Sasser, nun Zobot, rbot und etliche andere Namen- wird Zeit das die Scanner sich da mal einigen.

Neu an dem Schrott - RPC meckert nicht mehr und
keine Meldung das die Kiste in 60 Minuten runterfährt.
Es sind 3 oder 4 Dateien mit wechselnden Namen,
deswegen ist ein Scanner im laufendem System machtlos, der Schrott schützt sich über svchost, Explorerhook.
Das bedeutet, sowie der Explorer gestartet wird ( Desktop ist auch der Explorer ;( ) gehts los.

Auch abgesichert starten bringt nichts, meist ist im Winlogon noch eine Nail.exe untergebracht die bisher schlicht nicht
als Trojaner erkannt wurde.

Stinger und die HD von einem 2ten System aus scannen.
Obscure temp.ocx .cex im Windows & System32 Verzeichnis löschen, Root nicht vergessen.
Reg laden und HKLM_Software abgrasen.

alles in allem echt Arbeit - ports 135, 445 schliessen, FW aktivieren und WinUpdate.
Mit etwas Glück klappt das dann, aber leider auch nicht immer da etliche Trojaner anfangen faked Keys zu erstellen
die man oft nur mit einem HexEditor bereinigen kann.
Viel Erfolg.

mfg
Michael Bormann

• CPL Datei mit AutoIt aufrufen
• .dll-Datei aus System32 löschen.