C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad+C:\Windows\system32\rdriv.sys

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.08.2005, 00:09
...neu hier

Beiträge: 6
#1 Hallo liebe Leute
Ich weiß einfach nicht mehr weiter, in mir steckt die pure Verzweiflung.
Ich versuch einmal euch mein Problem zu schildern.
Ich hab nicht so die große Ahnung, also ich habe aufgrund eines Spiels " Pro Evoloution Soccer 4" bei meinem Router DMZ aktiviert um es spielen zu können.
Seitdem habe ich ein unlöschbaren Virus/Trojaner. Ich habe Antivir der ihn jedoch nicht löschen kann. Ich habe es mit Adaware und Spybot probiert, jedoch ebenfalls ohne Erfolg. Da habe ich mir gedacht ich formatiere all meine Festplatten. Nun kurz nach der Windowsinstallation habe ich natürlich gleich wieder Antivir installiert und keine 2 Minuten kam die Fehlermeldung der Virus rdriv.sys war wieder einmal da, ich habe versucht ihn mit dem programm oder manuell zu löschen, jedoch kam er immer wieder. Nun ich habe hijackthis laufen lassen auch ohne Erfolg. Desweiteren kommt immer wenn mein PC gerade hochgefahren ist eine weiter Viruswarnung und kurz danach öffnet sich die cmd.exe und darauf etliche Internet Seiten mit irgendwelchen Securety hilfen. Durch einen Freund bin ich auf das Programm ZoneAlarm gekommen, diese habe ich installiert und seither kamen die die Virusmeldungen nicht bei dem Starten von Windows, allerdings glaube ich nicht das der Virus der mir vorher solche Probleme bereitet hat allein durch diese Programm weg ist. Eine wichtige Sache vielleicht noch mein Bruder der ebenfalls am Router hängt wie ich hat den gleichen Virus.
Ich hoffe ich konnte es ersteinmal genau genug erklären und hoffe das mir einer von euch vielleicht helfen kann, denn ich habe wirklich keine Ahnung mehr was ich machen soll, da ich in diesem Gebiet sowieso nicht der Erfahrenste bin.

mfg
Tim alias raik
Seitenanfang Seitenende
01.08.2005, 00:20
Member

Beiträge: 1132
#2 Hallo raik,

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Entpacke das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
01.08.2005, 04:26
Member
Avatar Gool

Beiträge: 4730
#3 Nützlich wäre auch, wenn Du mal mit eScan scannen würdest. ZoneAlarm ist übrigens, nach meinen bisherigen Erfahrungen, nicht so gut. Ich empfehle da lieber die Sygate Firewall.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
01.08.2005, 09:35
Member

Beiträge: 228
#4 moin
ich möchte zu meinen vorrednern noch etwas hinzufügen.
wenn jemand ein kleines oder wie auch immer privates netzwerk hat, und er wird mitsolchen sachen konfrontiert wird, vierenbefall usw, und bringt dann noch den mut auf mit wenig kenntnis sein system neu aufzusetzen sollte vorallendingen eines nicht vergessen erstmal den befallenen pc sofort und unverzüglich vom netzwerk trennen. der grund dürfte einleuchten. dann wenn du/ihr den pc neu undzwar ganzneu aufsetzt aufjedenfall erstmal ohne netzwerk installieren (ich meine ohne angeschlossenes netzwerk). meine vermutung bei raik gehen dahin, dass er vermutlich gleich neu wieder infiziert worden ist über das netzwerk von anderen pcs sprich seinem bruder in dem falle.
wenn also ein vierenbefall etc. in einem netzwerk besteht sollte ein pc erstmal richtig installiert werden (event. sogar neu) und anschliesend gehärtet werden (ausführliche anleitungen und proggis gibts genügend als beispiele hier am board). und erst wenn der "neue" pc ohne fehler rund läuft, vierenproggies alle eingeschaltet sind, wieder ans netzwerk anschliesen und schauen was er meldet, und sehr genau beobachten welches proggi sich anschliesend in die registry eintragen will.
und bitte nicht die neuen updates von den service-packs vergessen

mfg fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)
Seitenanfang Seitenende
01.08.2005, 12:40
...neu hier

Themenstarter

Beiträge: 6
#5 Ich danke für die schnellen antworten, ich werde eure rats einmal ausprobieren und mich dann wieder melden

Hier meine Logfile:
ja der Internet Explorer ist veraltet, den benutze ich aber nicht.

Logfile of HijackThis v1.99.1
Scan saved at 12:43:09, on 01.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\steam\steam.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Edit.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 01.08.2005 um 12:45 Uhr von raik editiert.
Seitenanfang Seitenende
01.08.2005, 18:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@raik

zu welchem Prozess gehört rdriv.sys ?? schau mal bitte nach und schreibe es mir.


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2005, 20:23
Member
Avatar Gool

Beiträge: 4730
#7

Zitat

ja der Internet Explorer ist veraltet, den benutze ich aber nicht.
Nicht nur Dein Internet Explorer, sondern Dein ganzes System. Du solltest das Service Pack 2 installieren und alle weiteren Updates, um Sicherheitslücken zu schließen.
Der Internet Explorer ist übrigens so sehr im System verankert, dass es wenig Unterschied macht, ob Du mit ihm surfst oder nicht. Hier gab es schon etliche Meldungen, dass der IE, obwohl er nicht verwendet wird, sich dennoch automatisch öffnet.
Problematisch dabei ist, dass, sofern der IE durch einen Virus oder einen Trojaner geöffnet wird, evtl. auch gleich eine Webseite mit schadhaftem Code geöffnet wird.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
01.08.2005, 22:53
...neu hier

Themenstarter

Beiträge: 6
#8 Hallo
Jedesmal wenn ich die Datei rdriv.sys anklicke kommt gleich ne meldung von meinem Antivir, wie kann ich das rausfinden zu welchem Prozess sie gehört ?

hier die gewünschten Datein:
system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00D2-683A

Verzeichnis von C:\WINDOWS\system32

01.08.2005 16:34 890 vsconfig.xml
01.08.2005 16:34 7.168 rdriv.sys
01.08.2005 13:47 21.840 SIntfNT.dll
01.08.2005 13:47 17.212 SIntf32.dll
01.08.2005 13:47 12.067 SIntf16.dll
31.07.2005 23:20 4.212 zllictbl.dat
31.07.2005 20:41 60.416 setup_14104.exe
31.07.2005 20:41 69 i
31.07.2005 17:32 60.416 setup_14872.exe
31.07.2005 17:20 16.832 amcompat.tlb
31.07.2005 17:20 23.392 nscompat.tlb
31.07.2005 14:07 2.184 wpa.dbl
30.07.2005 18:37 60.416 setup_45650.exe
30.07.2005 17:45 60.416 setup_03337.exe
30.07.2005 17:43 60.416 setup_60415.exe
30.07.2005 17:42 60.416 setup_78242.exe
30.07.2005 16:52 60.416 setup_42467.exe
29.07.2005 19:33 2.870 jupdate-1.5.0_01-b08.log
29.07.2005 19:28 34.064 lhacm.acm
29.07.2005 17:53 0 h323log.txt
29.07.2005 17:11 311.604 perfh009.dat
29.07.2005 17:11 39.992 perfc009.dat
29.07.2005 17:11 316.594 perfh007.dat
29.07.2005 17:11 48.156 perfc007.dat
29.07.2005 17:11 723.744 PerfStringBackup.INI
29.07.2005 17:05 25.065 wmpscheme.xml
29.07.2005 17:01 90.296 FNTCACHE.DAT
29.07.2005 17:01 261 $winnt$.inf
29.07.2005 16:58 2.951 CONFIG.NT
29.07.2005 16:57 488 WindowsLogon.manifest
29.07.2005 16:57 488 logonui.exe.manifest
29.07.2005 16:57 749 nwc.cpl.manifest
29.07.2005 16:57 749 sapi.cpl.manifest
29.07.2005 16:57 749 wuaucpl.cpl.manifest
29.07.2005 16:57 749 ncpa.cpl.manifest
29.07.2005 16:57 749 cdplayer.exe.manifest
29.07.2005 16:55 21.740 emptyregdb.dat
03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll

systemtemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00D2-683A

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

01.08.2005 22:30 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13717.html
01.08.2005 22:06 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7636.html
01.08.2005 21:43 61.440 ~15.tmp
01.08.2005 20:56 61.440 ~13.tmp
01.08.2005 17:48 61.440 ~11.tmp
01.08.2005 17:45 61.440 ~E.tmp
01.08.2005 17:24 61.440 ~C.tmp
01.08.2005 16:35 16.384 ~DF89AE.tmp
01.08.2005 16:35 512 ~DF787F.tmp
01.08.2005 16:35 16.384 ~DF7872.tmp
01.08.2005 16:34 2.991 jusched.log
01.08.2005 15:18 61.440 ~B.tmp
01.08.2005 14:21 61.440 ~8.tmp
01.08.2005 13:46 16.384 ~DF4828.tmp
01.08.2005 13:46 16.384 ~DF480D.tmp
01.08.2005 13:46 16.384 ~DF47F2.tmp
01.08.2005 13:46 16.384 ~DF47D6.tmp
01.08.2005 13:38 61.440 ~A.tmp
01.08.2005 13:02 16.384 ~DFF8D6.tmp
01.08.2005 13:02 16.384 ~DFEDE1.tmp
01.08.2005 12:49 61.440 ~7.tmp
01.08.2005 01:44 61.440 ~6.tmp
01.08.2005 00:38 16.384 ~DF6F9E.tmp
01.08.2005 00:38 16.384 ~DF6F83.tmp
01.08.2005 00:38 16.384 ~DF6F68.tmp
01.08.2005 00:38 16.384 ~DF6F4C.tmp
01.08.2005 00:38 16.384 ~DF5B23.tmp
01.08.2005 00:38 16.384 ~DF48F2.tmp
01.08.2005 00:21 61.440 ~4.tmp
01.08.2005 00:18 61.440 ~9.tmp
01.08.2005 00:14 61.440 ~5.tmp
31.07.2005 23:35 16.384 ~DFE863.tmp
31.07.2005 23:24 16.384 ~DF1E59.tmp
31.07.2005 23:24 16.384 ~DF13B0.tmp
31.07.2005 22:59 16.384 ~DF89BD.tmp
31.07.2005 22:59 16.384 ~DF89A2.tmp
31.07.2005 22:59 16.384 ~DF89D8.tmp
31.07.2005 22:59 16.384 ~DF8987.tmp
31.07.2005 22:58 16.384 ~DF4D6B.tmp
31.07.2005 22:58 16.384 ~DF4D35.tmp
31.07.2005 22:58 16.384 ~DF4D50.tmp
31.07.2005 22:58 16.384 ~DF4D19.tmp
31.07.2005 22:51 16.384 ~DF74E0.tmp
31.07.2005 22:51 16.384 ~DF74AA.tmp
31.07.2005 22:51 16.384 ~DF74C5.tmp
31.07.2005 22:51 16.384 ~DF748F.tmp
31.07.2005 22:49 16.384 ~DF1184.tmp
31.07.2005 22:49 16.384 ~DF62F.tmp
31.07.2005 21:35 61.440 ~36.tmp
31.07.2005 21:24 61.440 ~34.tmp
31.07.2005 19:32 61.440 ~32.tmp
31.07.2005 19:21 61.440 ~30.tmp
31.07.2005 19:06 61.440 ~2E.tmp
31.07.2005 18:54 61.440 ~2C.tmp
31.07.2005 18:43 61.440 ~2A.tmp
31.07.2005 18:33 61.440 ~28.tmp
31.07.2005 17:54 283 wahtmltmp00.htm
31.07.2005 17:21 106 WMPA5.tmp
31.07.2005 17:17 10.538 control.xml
31.07.2005 17:09 16.384 ~DFC414.tmp
31.07.2005 17:09 16.384 ~DFC433.tmp
31.07.2005 17:09 16.384 ~DFC3DE.tmp
31.07.2005 17:09 16.384 ~DFC3F9.tmp
31.07.2005 16:37 16.384 ~DFF1FC.tmp
31.07.2005 16:37 16.384 ~DFF1E1.tmp
31.07.2005 16:37 16.384 ~DFF232.tmp
31.07.2005 16:37 16.384 ~DFF217.tmp
31.07.2005 14:45 74 Install.log
31.07.2005 14:14 16.384 ~DFE8CC.tmp
31.07.2005 14:14 16.384 ~DFD7E4.tmp
30.07.2005 19:30 16.384 ~DFC989.tmp
30.07.2005 19:30 16.384 ~DFC96E.tmp
30.07.2005 19:30 16.384 ~DFC938.tmp
30.07.2005 19:30 16.384 ~DFC953.tmp
30.07.2005 14:46 61.440 ~3.tmp
30.07.2005 13:26 16.384 ~DF75FF.tmp
30.07.2005 13:26 16.384 ~DF6588.tmp
30.07.2005 01:00 61.440 ~31.tmp
29.07.2005 21:14 61.440 ~2F.tmp
29.07.2005 20:46 61.440 ~2D.tmp
29.07.2005 20:42 61.440 ~29.tmp
29.07.2005 20:26 61.440 ~27.tmp
29.07.2005 19:33 36.438 jrelog.txt
29.07.2005 19:33 315 java_install_reg.log
29.07.2005 19:33 25.856 java_install.log
29.07.2005 18:59 61.440 ~19.tmp
21.03.2005 18:30 32.847 ICQRT.dll
03.02.2005 16:30 5.739 ICQTIK.dll
17.12.2004 11:51 36.864 ICQInstall.exe
01.06.2004 02:32 368.640 d2l_PlayD2.exe
04.05.2004 05:08 263.168 binkw32.dll
18.08.2001 14:00 1.216.512 setb2.tmp
18.08.2001 14:00 77.824 setb3.tmp
18.08.2001 14:00 225.280 setup_wm.exe
18.08.2001 14:00 274.432 setb0.tmp
18.08.2001 14:00 253.952 setb1.tmp
19.05.2001 11:04 397.312 d2l_Install.exe
97 Datei(en) 5.722.012 Bytes
0 Verzeichnis(se), 31.266.095.104 Bytes frei

system.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00D2-683A

Verzeichnis von C:\WINDOWS

01.08.2005 16:34 0 0.log
01.08.2005 16:34 2.048 bootstat.dat
01.08.2005 16:33 8.758 SchedLgU.Txt
01.08.2005 15:17 192 winamp.ini
01.08.2005 00:50 74.857 DirectX.log
01.08.2005 00:48 1.746.120 setupapi.log
31.07.2005 17:22 887 wmsetup.log
31.07.2005 17:20 376 wmsetup10.log
31.07.2005 17:20 503 win.ini
31.07.2005 17:20 316.640 WMSysPr9.prx
31.07.2005 17:20 299.552 WMSysPrx.prx
31.07.2005 14:45 14.320 DIIUnin.dat
30.07.2005 13:42 60.416 Edit.exe
29.07.2005 19:15 2.829 DIIUnin.pif
29.07.2005 19:15 102.400 DIIUnin.exe
29.07.2005 18:41 0 nsreg.dat
29.07.2005 18:41 99.970 UninstallFirefox.exe
29.07.2005 18:41 2.608 mozver.dat
29.07.2005 18:25 101 CMMIXER.INI
29.07.2005 18:18 181.713 setupact.log
29.07.2005 17:51 50 wiaservc.log
29.07.2005 17:51 509 wiadebug.log
29.07.2005 17:50 2.694 regopt.log
29.07.2005 17:50 231 system.ini
29.07.2005 17:24 19.002 Windows Update.log
29.07.2005 17:21 25 mixerdef.ini
29.07.2005 17:14 13.348 ntdtcsetup.log
29.07.2005 17:14 22.466 comsetup.log
29.07.2005 17:14 63.742 iis6.log
29.07.2005 17:14 17.032 tsoc.log
29.07.2005 17:14 1.374 imsins.log
29.07.2005 17:14 702 Q312370.log
29.07.2005 17:14 1.496 ocmsn.log
29.07.2005 17:14 17.854 ocgen.log
29.07.2005 17:14 1.437 msgsocm.log
29.07.2005 17:14 22.954 FaxSetup.log
29.07.2005 17:14 14.702 msmqinst.log
29.07.2005 17:13 92 CMISETUP.INI
29.07.2005 17:13 26 CMCDPLAY.INI
29.07.2005 17:05 820 OEWABLog.txt
29.07.2005 17:04 733.856 setuplog.txt
29.07.2005 17:01 8.192 REGLOCS.OLD
29.07.2005 17:01 4.382 imsins.BAK
29.07.2005 17:01 1.246 setuperr.log
29.07.2005 16:58 0 control.ini
29.07.2005 16:58 4.161 ODBCINST.INI
29.07.2005 16:57 749 WindowsShell.Manifest
29.07.2005 16:56 1.060 sessmgr.setup.log
29.07.2005 16:55 36 vb.ini
29.07.2005 16:55 37 vbaddin.ini
29.07.2005 16:55 128 DtcInstall.log
29.07.2005 15:14 0 Sti_Trace.log
25.07.2005 20:43 179 r.bat
25.07.2005 20:40 11.438 symantec.html
18.07.2005 14:52 4.539 l.bat
14.07.2005 13:21 11.074 symantec-scan.html
09.07.2005 12:30 3.165 symantec.css
09.07.2005 12:17 1.523 start_virus_over.gif
09.07.2005 12:00 173 nav_help-over.gif
09.07.2005 11:59 247 nav_solutions-over.gif
09.07.2005 11:59 248 nav_alert-over.gif
09.07.2005 11:57 253 nav_info-over.gif
07.07.2005 16:24 1.490 start_security_over.gif
07.07.2005 16:24 1.947 logo_symantec.gif
07.07.2005 16:24 27.581 home_bg3.jpg
07.07.2005 16:24 2.561 logo_home.gif
05.07.2005 04:11 363 icon_security_scan.gif
05.07.2005 04:11 419 icon_virus_detection.gif
13.03.2005 17:13 5.993 protect_new_55x55.gif
03.03.2005 03:22 2.660 windowsXP_masthead_ltr.gif

und die sys.txt kann nicht gefunden werden, service pack installiere ich dann auch.
Seitenanfang Seitenende
01.08.2005, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@raik

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "hexadecimal oder HexadecimaRepresentation" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"hexadecimal " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "hexadecimal " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
-----------------------------------
versuche es noch einmal:

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

---------------------------------

Den folgenden Text in den Editor kopieren und als fix.bat auf dem Desktop speichern:

sc delete rdriv
attrib -s - h - r C:\Windows\system32\rdriv.sys
del C:\Windows\system32\rdriv.sys
del C:\WINDOWS\Edit.exe
dellater C:\Windows\system32\rdriv.sys
dellater C:\WINDOWS\Edit.exe

In den abgesicherten Modus starten.

Die fix.bat Datei auf dem Desktop doppelklicken.


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

rdriv

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


Lade Ewido--> scanne und poste mir das Log vom Scan
http://virus-protect.org/antivirenfree.html

------------------------------------

Zitat

INFO:
http://www.sophos.de/virusinfo/analyses/w32sdbotaaq.html
Wenn er erstmals gestartet wird, kopiert sich W32/Sdbot-AAQ nach <Windows>\image.exe und erstellt die Datei <System>\rdriv.sys.
O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
http://www.sarc.com/avcenter/venc/data/pf/w32.spybot.nlx.html
Wenn er erstmals gestartet wird, kopiert sich W32/Rbot-AIC nach <Windows>\lsass.exe und erstellt die Datei <System>\rdriv.sys.
http://www.sophos.de/virusinfo/analyses/w32rbotaic.html

O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe

Beim Surfen mit Firefox 1.0.2 kam plötzlich die Meldung von der Firewall, dass ein Programm namens edit.exe (in c:\winnt) aufs Internet zugreifen will. Das habe ich natürlich abgelehnt.
Kurz danach meldete sich Sophos (von alleine), dass in der Datei C:\winnt\system32\rdriv.sys ein Virus gefunden und der Zugriff verweigert wurde

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 19:34
...neu hier

Themenstarter

Beiträge: 6
#10 Hallo Sabina

Die O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe Datei hat mir Hijackthis nicht angezeigt allerdings habe ich sie bei Dienste deaktiviert.

Die rkfiles da kam in der cmd.exe immer die Datei konnte nicht gefunden werden ...

Hier die sys.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00D2-683A

Verzeichnis von C:\

02.08.2005 18:56 0 sys.txt
02.08.2005 18:39 805.306.368 pagefile.sys
02.08.2005 01:18 0 win.txt
02.08.2005 01:18 13 log.txt
01.08.2005 22:47 0 %
01.08.2005 22:45 5.759 system.txt
01.08.2005 22:39 4.983 systemtemp.txt
01.08.2005 22:35 89.906 system32.txt
29.07.2005 16:58 0 MSDOS.SYS
29.07.2005 16:58 0 CONFIG.SYS
29.07.2005 16:58 0 AUTOEXEC.BAT
29.07.2005 16:58 0 IO.SYS
29.07.2005 16:53 194 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 224.032 ntldr
16 Datei(en) 805.681.331 Bytes
0 Verzeichnis(se), 31.265.587.200 Bytes frei


Fix.bat habe ich ausgeführt.

Hier die regsrch.vbs:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "rdriv" 02.08.2005 19:05:58

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Control/Print/Providers/LanMan Print Services/Servers/AddPrinterDrivers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]
"BitNames"=" TEST_TRACE_GENERAL TEST_TRACE_APP TEST_TRACE_TSTDRIVER TEST_TRACE_FLTRDRIVER"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]
"DisplayName"="rdriv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
"addprinterdrivers"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{8B6D7859-A639-4A15-8790-7161976D057A}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Video\{DEB039CC-B704-4F53-B43E-9DD4432FA2E9}\0000]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver JPN"="kbd101.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"LayerDriver KOR"="kbd101a.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmdd\Device0]
"MirrorDriver"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPCDD\Device0]
"MirrorDriver"=dword:00000001


Und hier noch der Ewido log:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:24:46, 02.08.2005
+ Report-Checksumme: 70670425

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.25:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.39:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.40:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.41:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Cookies\user@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Cookies\user@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Cookies\user@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup


::Report Ende

mfg

Tim alias raik
Seitenanfang Seitenende
02.08.2005, 19:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 raik

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDRIV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDRIV]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rdriv]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
Und sofort den PC wieder in den Normalmodus booten

ueberpruefe, ob das geloescht ist:
C:\Windows\system32\rdriv.sys
C:\WINDOWS\Edit.exe

bitte das noch einmal:
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 20:19
...neu hier

Themenstarter

Beiträge: 6
#12 Hallo Sabina

Habe die fixme.reg ausgeführt und in die registry übernommen.

C:\Windows\system32\rdriv.sys
C:\WINDOWS\Edit.exe

sind nicht mehr vorhanden.

system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00D2-683A

Verzeichnis von C:\WINDOWS\system32

02.08.2005 20:05 890 vsconfig.xml
01.08.2005 13:47 21.840 SIntfNT.dll
01.08.2005 13:47 17.212 SIntf32.dll
01.08.2005 13:47 12.067 SIntf16.dll
31.07.2005 23:20 4.212 zllictbl.dat
31.07.2005 20:41 69 i
31.07.2005 17:20 16.832 amcompat.tlb
31.07.2005 17:20 23.392 nscompat.tlb
31.07.2005 14:07 2.184 wpa.dbl
29.07.2005 19:33 2.870 jupdate-1.5.0_01-b08.log
29.07.2005 19:28 34.064 lhacm.acm
29.07.2005 17:53 0 h323log.txt
29.07.2005 17:11 311.604 perfh009.dat
29.07.2005 17:11 39.992 perfc009.dat
29.07.2005 17:11 723.744 PerfStringBackup.INI
29.07.2005 17:11 48.156 perfc007.dat
29.07.2005 17:11 316.594 perfh007.dat
29.07.2005 17:05 25.065 wmpscheme.xml
29.07.2005 17:01 90.296 FNTCACHE.DAT
29.07.2005 17:01 261 $winnt$.inf
29.07.2005 16:58 2.951 CONFIG.NT
29.07.2005 16:57 488 WindowsLogon.manifest
29.07.2005 16:57 488 logonui.exe.manifest
29.07.2005 16:57 749 nwc.cpl.manifest
29.07.2005 16:57 749 sapi.cpl.manifest
29.07.2005 16:57 749 wuaucpl.cpl.manifest
29.07.2005 16:57 749 ncpa.cpl.manifest
29.07.2005 16:57 749 cdplayer.exe.manifest
29.07.2005 16:55 21.740 emptyregdb.dat

Ich habe nach dem ewido update nochmal gescannt und es kamen wieder 11 virenmeldungen, hier nochmal log falls wichtig:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:58:05, 02.08.2005
+ Report-Checksumme: FFA63322

+ Scanergebnis:

:mozilla.8:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\as0lsgj3.default\cookies.txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup
C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_03337.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_14104.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_14872.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_42467.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_45650.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_60415.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup
C:\WINDOWS\system32\setup_78242.exe -> Backdoor.SdBot.aad : Gesäubert mit Backup


::Report Ende


mfg raik alias Tim
Seitenanfang Seitenende
02.08.2005, 21:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@raik

so so...da habe ich nicht aufgepasst.....ich habe die setup_.....exe gesehen, wusste aber nicht, was es war.

Zitat

30.07.2005 18:37 60.416 setup_45650.exe
30.07.2005 17:45 60.416 setup_03337.exe
30.07.2005 17:43 60.416 setup_60415.exe
30.07.2005 17:42 60.416 setup_78242.exe
30.07.2005 16:52 60.416 setup_42467.exe

Zitat

30.07.2005 13:42 60.416 Edit.exe
die C:\WINDOWS\Edit.exe solltest du jedoch loeschen....nun ja, jetzt ist sie ja entfernt. ;)
Mit vereinten kraeften scheint dein PC nun wieder sauber.

vielleicht ueberpruefst du noch mal, ob die temp-Dateien geloescht sind:

C:\DOKUME~1\User\LOKALE~1\Temp
30.07.2005 19:30 16.384 ~DFC96E.tmp
30.07.2005 19:30 16.384 ~DFC938.tmp
30.07.2005 19:30 16.384 ~DFC953.tmp
30.07.2005 14:46 61.440 ~3.tmp
30.07.2005 13:26 16.384 ~DF75FF.tmp
30.07.2005 13:26 16.384 ~DF6588.tmp
30.07.2005 01:00 61.440 ~31.tmp

1.mache noch unbedingt die WindowsUpdates ;) -->SP2

2.und suche in der Registry nach: HexadecimaRepresentation
oder edit.exe und loesche alles, was du findest.

3.deaktiviere die systemwiederherstellung, dann aktiviere sie wieder.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 21:40
...neu hier

Themenstarter

Beiträge: 6
#14 Ja mir scheint wir haben es geschafft, ich hoffe es kommt nicht wieder.
Aber ich weiß nicht wie ich mich bedanken kann, bin froh das es Menschen im I-Net gibt wie euch.
Also nochmals vielen dank und viel erfolg bei weiteren Problemlösungen.

mfg

Tim alias raik
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: