Problem mit W32.Randex.gen

#1 Hallo, habe mir den W32.Randex.gen eingefangen und komme nicht weiter. Mein Virenscanner sagt er sitzt in C:\Windows\system32\systemdev.exe

Habe die Datei dort jedoch nicht gefunden und auch über das Suchfeld kein Ergebnis.

Habe mitlerweile sämtliche W32.Randex.gen aus dem regedit entfernt und auch alles was mit systemdev.exe zutun hat.

Habe dann die Systemwiderherstellung deaktiviert und Neugestartet, leider ohne Erfolg.

Hier der Auszug aus dem HijackThis


Logfile of HijackThis v1.98.2
Scan saved at 10:15:43, on 16.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\Mounter.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smartstartpage.de/redirect.php?id=1636-HI1951
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ecb828e1fbc0276617/netzip/RdxIE601_de.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab



Nach mehrmaligen Scan mit Norton AntiVirus leider ohne Erfolg weiss ich nicht mehr weiter und wäre für schnelle Hilfe dankbar.

Gruß
Jens

#2 http://board.protecus.de/t9226.htm?highlight=W32.Randex.gen

Bitte nächstes Mal die Suche benutzen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Die Suche bzw die Beiträge hier im Board konnten mir leider nicht wirklich weiterhelfen. Habe so ziemlich alles versucht was hier gepostet wurde aber ohne erfolg. Habe mein Virenscnanner jetzt einmal neu installiert, in der Hoffnung das Norton die Meldung nur festgesetzt hat, aber auch das hat nichts gebracht, da die Viruswarnung erneut aufgetaucht ist. Bitte weiterhin um hilfe

mfg
Jens

#4 Systemwiederherstellung deaktiviert, im abgesicherten Modus gestartet und die Datei gelöscht? Siehe auch hier:
http://www.sarc.com/avcenter/venc/data/w32.randex.gen.html
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Genau so .... und trotzdem bekomme ich weiterhin die Viruswarnung

#6 Das kann eigentlich nicht sein. Vielleicht macht dein Norton da Quatsch, dann probier es mal mit eScan. Runterladen in c:\bases entpacken und mit "kavupd.exe" updaten.

Kann natürlich auch sein das du dich nach dem entfernen gleich wieder infizierst, deswegen solltest du mal www.windowsupdate.com aufsuchen oder generell eine Neuinstallation in Erwägung ziehen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 windowsupdate hab ich schon . escan hab ich mir drad runtergeladen ....


Das problem liegt denke ich hier ---> C:\Windows\system32\systemdev.exe


da mir die exedatei nicht angezeigt wird ... gehe ich davon aus das Norton eine feedbackschleife produziert. Meldung 1 : "Die Datei wurde repariert" 2 "die Datei konnte nicht isoliert werden" 3 "Der Zugriff auf die Datei wurde verwehrt" ... diese Meldungen werden beim klicken laufend widerholt.


Werde das mit escan jetzt nochmal versuchen und hoffen das es was bringt



So escan beendet ... Norton deinstalliert .. ale regschlüssel entfernt .. neustart ... norton neuinstaliert .. Virusmedlung immernoch da ...


escan hat keinen Virus gefunden!

Wer kann helfen?