C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad+C:\Windows\system32\rdriv.sysThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.08.2005, 00:09
...neu hier
Beiträge: 6 |
||
|
||
01.08.2005, 00:20
Member
Beiträge: 1132 |
#2
Hallo raik,
HijackThis 1.99.1 http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Entpacke das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.08.2005, 04:26
Member
Beiträge: 4730 |
#3
Nützlich wäre auch, wenn Du mal mit eScan scannen würdest. ZoneAlarm ist übrigens, nach meinen bisherigen Erfahrungen, nicht so gut. Ich empfehle da lieber die Sygate Firewall.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
01.08.2005, 09:35
Member
Beiträge: 228 |
#4
moin
ich möchte zu meinen vorrednern noch etwas hinzufügen. wenn jemand ein kleines oder wie auch immer privates netzwerk hat, und er wird mitsolchen sachen konfrontiert wird, vierenbefall usw, und bringt dann noch den mut auf mit wenig kenntnis sein system neu aufzusetzen sollte vorallendingen eines nicht vergessen erstmal den befallenen pc sofort und unverzüglich vom netzwerk trennen. der grund dürfte einleuchten. dann wenn du/ihr den pc neu undzwar ganzneu aufsetzt aufjedenfall erstmal ohne netzwerk installieren (ich meine ohne angeschlossenes netzwerk). meine vermutung bei raik gehen dahin, dass er vermutlich gleich neu wieder infiziert worden ist über das netzwerk von anderen pcs sprich seinem bruder in dem falle. wenn also ein vierenbefall etc. in einem netzwerk besteht sollte ein pc erstmal richtig installiert werden (event. sogar neu) und anschliesend gehärtet werden (ausführliche anleitungen und proggis gibts genügend als beispiele hier am board). und erst wenn der "neue" pc ohne fehler rund läuft, vierenproggies alle eingeschaltet sind, wieder ans netzwerk anschliesen und schauen was er meldet, und sehr genau beobachten welches proggi sich anschliesend in die registry eintragen will. und bitte nicht die neuen updates von den service-packs vergessen mfg fake __________ Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama) |
|
|
||
01.08.2005, 12:40
...neu hier
Themenstarter Beiträge: 6 |
#5
Ich danke für die schnellen antworten, ich werde eure rats einmal ausprobieren und mich dann wieder melden
Hier meine Logfile: ja der Internet Explorer ist veraltet, den benutze ich aber nicht. Logfile of HijackThis v1.99.1 Scan saved at 12:43:09, on 01.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe D:\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\steam\steam.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Edit.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 01.08.2005 um 12:45 Uhr von raik editiert.
|
|
|
||
01.08.2005, 18:35
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@raik
zu welchem Prozess gehört rdriv.sys ?? schau mal bitte nach und schreibe es mir. Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2005, 20:23
Member
Beiträge: 4730 |
#7
Zitat ja der Internet Explorer ist veraltet, den benutze ich aber nicht.Nicht nur Dein Internet Explorer, sondern Dein ganzes System. Du solltest das Service Pack 2 installieren und alle weiteren Updates, um Sicherheitslücken zu schließen. Der Internet Explorer ist übrigens so sehr im System verankert, dass es wenig Unterschied macht, ob Du mit ihm surfst oder nicht. Hier gab es schon etliche Meldungen, dass der IE, obwohl er nicht verwendet wird, sich dennoch automatisch öffnet. Problematisch dabei ist, dass, sofern der IE durch einen Virus oder einen Trojaner geöffnet wird, evtl. auch gleich eine Webseite mit schadhaftem Code geöffnet wird. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
01.08.2005, 22:53
...neu hier
Themenstarter Beiträge: 6 |
#8
Hallo
Jedesmal wenn ich die Datei rdriv.sys anklicke kommt gleich ne meldung von meinem Antivir, wie kann ich das rausfinden zu welchem Prozess sie gehört ? hier die gewünschten Datein: system32.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00D2-683A Verzeichnis von C:\WINDOWS\system32 01.08.2005 16:34 890 vsconfig.xml 01.08.2005 16:34 7.168 rdriv.sys 01.08.2005 13:47 21.840 SIntfNT.dll 01.08.2005 13:47 17.212 SIntf32.dll 01.08.2005 13:47 12.067 SIntf16.dll 31.07.2005 23:20 4.212 zllictbl.dat 31.07.2005 20:41 60.416 setup_14104.exe 31.07.2005 20:41 69 i 31.07.2005 17:32 60.416 setup_14872.exe 31.07.2005 17:20 16.832 amcompat.tlb 31.07.2005 17:20 23.392 nscompat.tlb 31.07.2005 14:07 2.184 wpa.dbl 30.07.2005 18:37 60.416 setup_45650.exe 30.07.2005 17:45 60.416 setup_03337.exe 30.07.2005 17:43 60.416 setup_60415.exe 30.07.2005 17:42 60.416 setup_78242.exe 30.07.2005 16:52 60.416 setup_42467.exe 29.07.2005 19:33 2.870 jupdate-1.5.0_01-b08.log 29.07.2005 19:28 34.064 lhacm.acm 29.07.2005 17:53 0 h323log.txt 29.07.2005 17:11 311.604 perfh009.dat 29.07.2005 17:11 39.992 perfc009.dat 29.07.2005 17:11 316.594 perfh007.dat 29.07.2005 17:11 48.156 perfc007.dat 29.07.2005 17:11 723.744 PerfStringBackup.INI 29.07.2005 17:05 25.065 wmpscheme.xml 29.07.2005 17:01 90.296 FNTCACHE.DAT 29.07.2005 17:01 261 $winnt$.inf 29.07.2005 16:58 2.951 CONFIG.NT 29.07.2005 16:57 488 WindowsLogon.manifest 29.07.2005 16:57 488 logonui.exe.manifest 29.07.2005 16:57 749 nwc.cpl.manifest 29.07.2005 16:57 749 sapi.cpl.manifest 29.07.2005 16:57 749 wuaucpl.cpl.manifest 29.07.2005 16:57 749 ncpa.cpl.manifest 29.07.2005 16:57 749 cdplayer.exe.manifest 29.07.2005 16:55 21.740 emptyregdb.dat 03.06.2005 05:44 67.336 zlcommdb.dll 03.06.2005 05:44 75.528 zlcomm.dll 03.06.2005 05:43 100.096 vsxml.dll 03.06.2005 05:43 354.056 vsutil.dll 03.06.2005 05:43 71.432 vsregexp.dll 03.06.2005 05:43 198.408 vspubapi.dll 03.06.2005 05:43 108.296 vsmonapi.dll 03.06.2005 05:43 124.680 vsinit.dll 03.06.2005 05:42 279.656 vsdatant.sys 03.06.2005 05:42 75.528 vsdata.dll 03.06.2005 05:16 50.864 vsutil_loc0407.dll systemtemp.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00D2-683A Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 01.08.2005 22:30 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13717.html 01.08.2005 22:06 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7636.html 01.08.2005 21:43 61.440 ~15.tmp 01.08.2005 20:56 61.440 ~13.tmp 01.08.2005 17:48 61.440 ~11.tmp 01.08.2005 17:45 61.440 ~E.tmp 01.08.2005 17:24 61.440 ~C.tmp 01.08.2005 16:35 16.384 ~DF89AE.tmp 01.08.2005 16:35 512 ~DF787F.tmp 01.08.2005 16:35 16.384 ~DF7872.tmp 01.08.2005 16:34 2.991 jusched.log 01.08.2005 15:18 61.440 ~B.tmp 01.08.2005 14:21 61.440 ~8.tmp 01.08.2005 13:46 16.384 ~DF4828.tmp 01.08.2005 13:46 16.384 ~DF480D.tmp 01.08.2005 13:46 16.384 ~DF47F2.tmp 01.08.2005 13:46 16.384 ~DF47D6.tmp 01.08.2005 13:38 61.440 ~A.tmp 01.08.2005 13:02 16.384 ~DFF8D6.tmp 01.08.2005 13:02 16.384 ~DFEDE1.tmp 01.08.2005 12:49 61.440 ~7.tmp 01.08.2005 01:44 61.440 ~6.tmp 01.08.2005 00:38 16.384 ~DF6F9E.tmp 01.08.2005 00:38 16.384 ~DF6F83.tmp 01.08.2005 00:38 16.384 ~DF6F68.tmp 01.08.2005 00:38 16.384 ~DF6F4C.tmp 01.08.2005 00:38 16.384 ~DF5B23.tmp 01.08.2005 00:38 16.384 ~DF48F2.tmp 01.08.2005 00:21 61.440 ~4.tmp 01.08.2005 00:18 61.440 ~9.tmp 01.08.2005 00:14 61.440 ~5.tmp 31.07.2005 23:35 16.384 ~DFE863.tmp 31.07.2005 23:24 16.384 ~DF1E59.tmp 31.07.2005 23:24 16.384 ~DF13B0.tmp 31.07.2005 22:59 16.384 ~DF89BD.tmp 31.07.2005 22:59 16.384 ~DF89A2.tmp 31.07.2005 22:59 16.384 ~DF89D8.tmp 31.07.2005 22:59 16.384 ~DF8987.tmp 31.07.2005 22:58 16.384 ~DF4D6B.tmp 31.07.2005 22:58 16.384 ~DF4D35.tmp 31.07.2005 22:58 16.384 ~DF4D50.tmp 31.07.2005 22:58 16.384 ~DF4D19.tmp 31.07.2005 22:51 16.384 ~DF74E0.tmp 31.07.2005 22:51 16.384 ~DF74AA.tmp 31.07.2005 22:51 16.384 ~DF74C5.tmp 31.07.2005 22:51 16.384 ~DF748F.tmp 31.07.2005 22:49 16.384 ~DF1184.tmp 31.07.2005 22:49 16.384 ~DF62F.tmp 31.07.2005 21:35 61.440 ~36.tmp 31.07.2005 21:24 61.440 ~34.tmp 31.07.2005 19:32 61.440 ~32.tmp 31.07.2005 19:21 61.440 ~30.tmp 31.07.2005 19:06 61.440 ~2E.tmp 31.07.2005 18:54 61.440 ~2C.tmp 31.07.2005 18:43 61.440 ~2A.tmp 31.07.2005 18:33 61.440 ~28.tmp 31.07.2005 17:54 283 wahtmltmp00.htm 31.07.2005 17:21 106 WMPA5.tmp 31.07.2005 17:17 10.538 control.xml 31.07.2005 17:09 16.384 ~DFC414.tmp 31.07.2005 17:09 16.384 ~DFC433.tmp 31.07.2005 17:09 16.384 ~DFC3DE.tmp 31.07.2005 17:09 16.384 ~DFC3F9.tmp 31.07.2005 16:37 16.384 ~DFF1FC.tmp 31.07.2005 16:37 16.384 ~DFF1E1.tmp 31.07.2005 16:37 16.384 ~DFF232.tmp 31.07.2005 16:37 16.384 ~DFF217.tmp 31.07.2005 14:45 74 Install.log 31.07.2005 14:14 16.384 ~DFE8CC.tmp 31.07.2005 14:14 16.384 ~DFD7E4.tmp 30.07.2005 19:30 16.384 ~DFC989.tmp 30.07.2005 19:30 16.384 ~DFC96E.tmp 30.07.2005 19:30 16.384 ~DFC938.tmp 30.07.2005 19:30 16.384 ~DFC953.tmp 30.07.2005 14:46 61.440 ~3.tmp 30.07.2005 13:26 16.384 ~DF75FF.tmp 30.07.2005 13:26 16.384 ~DF6588.tmp 30.07.2005 01:00 61.440 ~31.tmp 29.07.2005 21:14 61.440 ~2F.tmp 29.07.2005 20:46 61.440 ~2D.tmp 29.07.2005 20:42 61.440 ~29.tmp 29.07.2005 20:26 61.440 ~27.tmp 29.07.2005 19:33 36.438 jrelog.txt 29.07.2005 19:33 315 java_install_reg.log 29.07.2005 19:33 25.856 java_install.log 29.07.2005 18:59 61.440 ~19.tmp 21.03.2005 18:30 32.847 ICQRT.dll 03.02.2005 16:30 5.739 ICQTIK.dll 17.12.2004 11:51 36.864 ICQInstall.exe 01.06.2004 02:32 368.640 d2l_PlayD2.exe 04.05.2004 05:08 263.168 binkw32.dll 18.08.2001 14:00 1.216.512 setb2.tmp 18.08.2001 14:00 77.824 setb3.tmp 18.08.2001 14:00 225.280 setup_wm.exe 18.08.2001 14:00 274.432 setb0.tmp 18.08.2001 14:00 253.952 setb1.tmp 19.05.2001 11:04 397.312 d2l_Install.exe 97 Datei(en) 5.722.012 Bytes 0 Verzeichnis(se), 31.266.095.104 Bytes frei system.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00D2-683A Verzeichnis von C:\WINDOWS 01.08.2005 16:34 0 0.log 01.08.2005 16:34 2.048 bootstat.dat 01.08.2005 16:33 8.758 SchedLgU.Txt 01.08.2005 15:17 192 winamp.ini 01.08.2005 00:50 74.857 DirectX.log 01.08.2005 00:48 1.746.120 setupapi.log 31.07.2005 17:22 887 wmsetup.log 31.07.2005 17:20 376 wmsetup10.log 31.07.2005 17:20 503 win.ini 31.07.2005 17:20 316.640 WMSysPr9.prx 31.07.2005 17:20 299.552 WMSysPrx.prx 31.07.2005 14:45 14.320 DIIUnin.dat 30.07.2005 13:42 60.416 Edit.exe 29.07.2005 19:15 2.829 DIIUnin.pif 29.07.2005 19:15 102.400 DIIUnin.exe 29.07.2005 18:41 0 nsreg.dat 29.07.2005 18:41 99.970 UninstallFirefox.exe 29.07.2005 18:41 2.608 mozver.dat 29.07.2005 18:25 101 CMMIXER.INI 29.07.2005 18:18 181.713 setupact.log 29.07.2005 17:51 50 wiaservc.log 29.07.2005 17:51 509 wiadebug.log 29.07.2005 17:50 2.694 regopt.log 29.07.2005 17:50 231 system.ini 29.07.2005 17:24 19.002 Windows Update.log 29.07.2005 17:21 25 mixerdef.ini 29.07.2005 17:14 13.348 ntdtcsetup.log 29.07.2005 17:14 22.466 comsetup.log 29.07.2005 17:14 63.742 iis6.log 29.07.2005 17:14 17.032 tsoc.log 29.07.2005 17:14 1.374 imsins.log 29.07.2005 17:14 702 Q312370.log 29.07.2005 17:14 1.496 ocmsn.log 29.07.2005 17:14 17.854 ocgen.log 29.07.2005 17:14 1.437 msgsocm.log 29.07.2005 17:14 22.954 FaxSetup.log 29.07.2005 17:14 14.702 msmqinst.log 29.07.2005 17:13 92 CMISETUP.INI 29.07.2005 17:13 26 CMCDPLAY.INI 29.07.2005 17:05 820 OEWABLog.txt 29.07.2005 17:04 733.856 setuplog.txt 29.07.2005 17:01 8.192 REGLOCS.OLD 29.07.2005 17:01 4.382 imsins.BAK 29.07.2005 17:01 1.246 setuperr.log 29.07.2005 16:58 0 control.ini 29.07.2005 16:58 4.161 ODBCINST.INI 29.07.2005 16:57 749 WindowsShell.Manifest 29.07.2005 16:56 1.060 sessmgr.setup.log 29.07.2005 16:55 36 vb.ini 29.07.2005 16:55 37 vbaddin.ini 29.07.2005 16:55 128 DtcInstall.log 29.07.2005 15:14 0 Sti_Trace.log 25.07.2005 20:43 179 r.bat 25.07.2005 20:40 11.438 symantec.html 18.07.2005 14:52 4.539 l.bat 14.07.2005 13:21 11.074 symantec-scan.html 09.07.2005 12:30 3.165 symantec.css 09.07.2005 12:17 1.523 start_virus_over.gif 09.07.2005 12:00 173 nav_help-over.gif 09.07.2005 11:59 247 nav_solutions-over.gif 09.07.2005 11:59 248 nav_alert-over.gif 09.07.2005 11:57 253 nav_info-over.gif 07.07.2005 16:24 1.490 start_security_over.gif 07.07.2005 16:24 1.947 logo_symantec.gif 07.07.2005 16:24 27.581 home_bg3.jpg 07.07.2005 16:24 2.561 logo_home.gif 05.07.2005 04:11 363 icon_security_scan.gif 05.07.2005 04:11 419 icon_virus_detection.gif 13.03.2005 17:13 5.993 protect_new_55x55.gif 03.03.2005 03:22 2.660 windowsXP_masthead_ltr.gif und die sys.txt kann nicht gefunden werden, service pack installiere ich dann auch. |
|
|
||
01.08.2005, 23:50
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@raik
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "hexadecimal oder HexadecimaRepresentation" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "hexadecimal " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "hexadecimal " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt ----------------------------------- versuche es noch einmal: cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit --------------------------------- Den folgenden Text in den Editor kopieren und als fix.bat auf dem Desktop speichern: sc delete rdriv attrib -s - h - r C:\Windows\system32\rdriv.sys del C:\Windows\system32\rdriv.sys del C:\WINDOWS\Edit.exe dellater C:\Windows\system32\rdriv.sys dellater C:\WINDOWS\Edit.exe In den abgesicherten Modus starten. Die fix.bat Datei auf dem Desktop doppelklicken. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: rdriv Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Lade Ewido--> scanne und poste mir das Log vom Scan http://virus-protect.org/antivirenfree.html ------------------------------------ Zitat INFO: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2005, 19:34
...neu hier
Themenstarter Beiträge: 6 |
#10
Hallo Sabina
Die O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe Datei hat mir Hijackthis nicht angezeigt allerdings habe ich sie bei Dienste deaktiviert. Die rkfiles da kam in der cmd.exe immer die Datei konnte nicht gefunden werden ... Hier die sys.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00D2-683A Verzeichnis von C:\ 02.08.2005 18:56 0 sys.txt 02.08.2005 18:39 805.306.368 pagefile.sys 02.08.2005 01:18 0 win.txt 02.08.2005 01:18 13 log.txt 01.08.2005 22:47 0 % 01.08.2005 22:45 5.759 system.txt 01.08.2005 22:39 4.983 systemtemp.txt 01.08.2005 22:35 89.906 system32.txt 29.07.2005 16:58 0 MSDOS.SYS 29.07.2005 16:58 0 CONFIG.SYS 29.07.2005 16:58 0 AUTOEXEC.BAT 29.07.2005 16:58 0 IO.SYS 29.07.2005 16:53 194 boot.ini 18.08.2001 14:00 4.952 bootfont.bin 18.08.2001 14:00 45.124 NTDETECT.COM 18.08.2001 14:00 224.032 ntldr 16 Datei(en) 805.681.331 Bytes 0 Verzeichnis(se), 31.265.587.200 Bytes frei Fix.bat habe ich ausgeführt. Hier die regsrch.vbs: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "rdriv" 02.08.2005 19:05:58 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid] "BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers] "addprinterdrivers"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters] "LayerDriver JPN"="kbd101.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters] "LayerDriver KOR"="kbd101a.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers] "addprinterdrivers"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters] "LayerDriver JPN"="kbd101.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters] "LayerDriver KOR"="kbd101a.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv] "DisplayName"="rdriv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers] "addprinterdrivers"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters] "LayerDriver JPN"="kbd101.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters] "LayerDriver KOR"="kbd101a.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0] "MirrorDriver"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0] "MirrorDriver"=dword:00000001 Und hier noch der Ewido log: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 19:24:46, 02.08.2005 + Report-Checksumme: 70670425 + Scanergebnis: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup :mozilla.12:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.13:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.25:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup :mozilla.26:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.28:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.30:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.35:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup :mozilla.39:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.40:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.41:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.42:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\User\Cookies\user@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\User\Cookies\user@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\User\Cookies\user@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup ::Report Ende mfg Tim alias raik |
|
|
||
02.08.2005, 19:45
Ehrenmitglied
Beiträge: 29434 |
#11
raik
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. Und sofort den PC wieder in den Normalmodus booten ueberpruefe, ob das geloescht ist: C:\Windows\system32\rdriv.sys C:\WINDOWS\Edit.exe bitte das noch einmal: Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2005, 20:19
...neu hier
Themenstarter Beiträge: 6 |
#12
Hallo Sabina
Habe die fixme.reg ausgeführt und in die registry übernommen. C:\Windows\system32\rdriv.sys C:\WINDOWS\Edit.exe sind nicht mehr vorhanden. system32.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00D2-683A Verzeichnis von C:\WINDOWS\system32 02.08.2005 20:05 890 vsconfig.xml 01.08.2005 13:47 21.840 SIntfNT.dll 01.08.2005 13:47 17.212 SIntf32.dll 01.08.2005 13:47 12.067 SIntf16.dll 31.07.2005 23:20 4.212 zllictbl.dat 31.07.2005 20:41 69 i 31.07.2005 17:20 16.832 amcompat.tlb 31.07.2005 17:20 23.392 nscompat.tlb 31.07.2005 14:07 2.184 wpa.dbl 29.07.2005 19:33 2.870 jupdate-1.5.0_01-b08.log 29.07.2005 19:28 34.064 lhacm.acm 29.07.2005 17:53 0 h323log.txt 29.07.2005 17:11 311.604 perfh009.dat 29.07.2005 17:11 39.992 perfc009.dat 29.07.2005 17:11 723.744 PerfStringBackup.INI 29.07.2005 17:11 48.156 perfc007.dat 29.07.2005 17:11 316.594 perfh007.dat 29.07.2005 17:05 25.065 wmpscheme.xml 29.07.2005 17:01 90.296 FNTCACHE.DAT 29.07.2005 17:01 261 $winnt$.inf 29.07.2005 16:58 2.951 CONFIG.NT 29.07.2005 16:57 488 WindowsLogon.manifest 29.07.2005 16:57 488 logonui.exe.manifest 29.07.2005 16:57 749 nwc.cpl.manifest 29.07.2005 16:57 749 sapi.cpl.manifest 29.07.2005 16:57 749 wuaucpl.cpl.manifest 29.07.2005 16:57 749 ncpa.cpl.manifest 29.07.2005 16:57 749 cdplayer.exe.manifest 29.07.2005 16:55 21.740 emptyregdb.dat Ich habe nach dem ewido update nochmal gescannt und es kamen wieder 11 virenmeldungen, hier nochmal log falls wichtig: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 19:58:05, 02.08.2005 + Report-Checksumme: FFA63322 + Scanergebnis: :mozilla.8:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup :mozilla.11:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_03337.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_14104.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_14872.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_42467.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_45650.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_60415.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup C:\WINDOWS\system32\setup_78242.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup ::Report Ende mfg raik alias Tim |
|
|
||
02.08.2005, 21:35
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@raik
so so...da habe ich nicht aufgepasst.....ich habe die setup_.....exe gesehen, wusste aber nicht, was es war. Zitat 30.07.2005 18:37 60.416 setup_45650.exe Zitat 30.07.2005 13:42 60.416 Edit.exedie C:\WINDOWS\Edit.exe solltest du jedoch loeschen....nun ja, jetzt ist sie ja entfernt. Mit vereinten kraeften scheint dein PC nun wieder sauber. vielleicht ueberpruefst du noch mal, ob die temp-Dateien geloescht sind: C:\DOKUME~1\User\LOKALE~1\Temp 30.07.2005 19:30 16.384 ~DFC96E.tmp 30.07.2005 19:30 16.384 ~DFC938.tmp 30.07.2005 19:30 16.384 ~DFC953.tmp 30.07.2005 14:46 61.440 ~3.tmp 30.07.2005 13:26 16.384 ~DF75FF.tmp 30.07.2005 13:26 16.384 ~DF6588.tmp 30.07.2005 01:00 61.440 ~31.tmp 1.mache noch unbedingt die WindowsUpdates -->SP2 2.und suche in der Registry nach: HexadecimaRepresentation oder edit.exe und loesche alles, was du findest. 3.deaktiviere die systemwiederherstellung, dann aktiviere sie wieder. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2005, 21:40
...neu hier
Themenstarter Beiträge: 6 |
#14
Ja mir scheint wir haben es geschafft, ich hoffe es kommt nicht wieder.
Aber ich weiß nicht wie ich mich bedanken kann, bin froh das es Menschen im I-Net gibt wie euch. Also nochmals vielen dank und viel erfolg bei weiteren Problemlösungen. mfg Tim alias raik |
|
|
||
Ich weiß einfach nicht mehr weiter, in mir steckt die pure Verzweiflung.
Ich versuch einmal euch mein Problem zu schildern.
Ich hab nicht so die große Ahnung, also ich habe aufgrund eines Spiels " Pro Evoloution Soccer 4" bei meinem Router DMZ aktiviert um es spielen zu können.
Seitdem habe ich ein unlöschbaren Virus/Trojaner. Ich habe Antivir der ihn jedoch nicht löschen kann. Ich habe es mit Adaware und Spybot probiert, jedoch ebenfalls ohne Erfolg. Da habe ich mir gedacht ich formatiere all meine Festplatten. Nun kurz nach der Windowsinstallation habe ich natürlich gleich wieder Antivir installiert und keine 2 Minuten kam die Fehlermeldung der Virus rdriv.sys war wieder einmal da, ich habe versucht ihn mit dem programm oder manuell zu löschen, jedoch kam er immer wieder. Nun ich habe hijackthis laufen lassen auch ohne Erfolg. Desweiteren kommt immer wenn mein PC gerade hochgefahren ist eine weiter Viruswarnung und kurz danach öffnet sich die cmd.exe und darauf etliche Internet Seiten mit irgendwelchen Securety hilfen. Durch einen Freund bin ich auf das Programm ZoneAlarm gekommen, diese habe ich installiert und seither kamen die die Virusmeldungen nicht bei dem Starten von Windows, allerdings glaube ich nicht das der Virus der mir vorher solche Probleme bereitet hat allein durch diese Programm weg ist. Eine wichtige Sache vielleicht noch mein Bruder der ebenfalls am Router hängt wie ich hat den gleichen Virus.
Ich hoffe ich konnte es ersteinmal genau genug erklären und hoffe das mir einer von euch vielleicht helfen kann, denn ich habe wirklich keine Ahnung mehr was ich machen soll, da ich in diesem Gebiet sowieso nicht der Erfahrenste bin.
mfg
Tim alias raik