C:\windows\system32\rdriv.sys

#1 Hallo!!

Ich, ein Mädel mit nicht sehr viel Ahnung von PC`s habe aber in letzter Zeit andauernd folgenden Virus C:\WINDOWS\SYSTEM32\RDRIV.SYS! Obwohl ich auf den selben Seiten gesurft bin wie immer.

Ich kann die Datei löschen so ich ich will, er will nicht weg! Habe Ihn umbenannt, verschoben.. Nichts hilft! Andauuernd zeigt mir mein Anti Vir den Virus an, allerdings ohne etwas gegen ihn ausrichten zu können..

Bitte, kann mir jemand helfen? Was soll ich tun?

Habe mein Hijackthis Log mitgeschickt.


Logfile of HijackThis v1.99.1
Scan saved at 17:43:43, on 19.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysmanager.exe
C:\WINDOWS\System32\nbupd64.exe
C:\WINDOWS\System32\wssocksapi.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINDOWS\System32\wzikkqdcoc.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\knxwzofnu.EXE
C:\WINDOWS\System32\svshost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\cmd.exe
D:\Mozilla Firefox Internet Browser\firefox.exe
C:\akarexon.exe
C:\WINDOWS\task.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [qPeexAF] C:\WINDOWS\gvmeic.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\Run: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\Run: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKLM\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\RunServices: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\RunServices: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunOnce: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKCU\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\RunOnce: [Windows Update 64] nbupd64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP Professional\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{845F4FEA-5456-4FB4-9FF3-8D6CD95D6DBB}: NameServer = 217.237.151.225 217.237.150.225
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe
O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe (file missing)
O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

#2 Meine Empfehlung: formatieren, da das System quasi heillos mit Viren verseucht ist.

Eine Säuberung würde hier vermutlich lange dauern und ein Erfolg ist nicht garantiert. Wenn Du es dennoch versuchen möchtest, dann führe folgende Schritte durch:

HijackThis -> scan -> Häkchen setzen -> "fix checked"
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [qPeexAF] C:\WINDOWS\gvmeic.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\Run: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\Run: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKLM\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\RunServices: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\RunServices: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunOnce: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKCU\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\RunOnce: [Windows Update 64] nbupd64.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe
O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe (file missing)
O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Killbox: http://virus-protect.org/killbox.html
Aktiviere "Delete on Reboot". Füge in das Eingabefeld ein und bestätige jew. mit Klick rechts auf das Kreuz (die Frage, ob neugestartet werden soll, erst nach der letzten Datei mit JA beantworten!):

C:\Programme\RXToolBar\sfcont.dll
C:\WINDOWS\gvmeic.exe
C:\WINDOWS\logon.exe
c:\windows\system32\hostserv.exe
c:\windows\system32\winsys64mnger.exe
c:\windows\system32\wssocksapi.exe
C:\Program Files\Media Gateway\MediaGateway.exe
c:\windows\system32\nbupd64.exe
c:\windows\system32\wzikkqdcoc.EXE
c:\windows\system32\knxwzofnu.EXE
c:\windows\system32\svshost.exe
C:\Programme\RXToolBar\sfcont.dll
C:\WINDOWS\sysmanager.exe
C:\WINDOWS\task.exe
C:\WINDOWS\pnpasn32.exe
C:\WINDOWS\wordpad.exe
C:\WINDOWS\SYSTEM32\RDRIV.SYS

Der PC wird neugestartet. Folge den Anweisungen auf folgender Seite
http://virus-protect.org/datfindbat.html
und poste die vier daraus resultierenden Log-Dateien. Aber bitte nur die Einträge der vergangenen 20 Tage posten (vor jedem Eintrag steht ein Datum).

Dann sehen wir weiter.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo,

erstmal vielen Dank, dass Du Dich der Herausforderung stellst und Dir Zeit Zeit nimmst! Danke.
Hier Sind die Log Dateien wie angefordert.
Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\WINDOWS\system32

20.09.2005 09:40 7.168 rdriv.sys
20.09.2005 09:06 7.168 remon.sys
19.09.2005 23:38 499 ii
19.09.2005 16:56 104.448 svshost.exe
19.09.2005 16:55 0 TFTP4444
19.09.2005 14:16 7.168 lpdriver.sys
17.09.2005 22:18 2.206 wpa.dbl
16.09.2005 12:56 7.168 orans.sys
14.09.2005 21:54 83.456 nbupd64.exe
11.09.2005 10:13 63.488 eraseme_18722.exe
11.09.2005 10:12 71 i
11.09.2005 10:04 4.720 ide21201.vxd
09.09.2005 16:52 45.056 wssocksapi.exe
30.07.2005 17:26 305.318 perfh009.dat
30.07.2005 17:26 37.760 perfc009.dat
30.07.2005 17:26 309.810 perfh007.dat
30.07.2005 17:26 45.672 perfc007.dat
30.07.2005 17:26 703.178 PerfStringBackup.INI
30.07.2005 15:03 25.065 wmpscheme.xml
30.07.2005 15:01 16.832 amcompat.tlb
30.07.2005 15:01 23.392 nscompat.tlb
28.07.2005 20:49 1.632 d3d8caps.dat




Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

20.09.2005 09:40 16.384 Perflib_Perfdata_300.dat
20.09.2005 09:40 102.955 jusched.log
20.09.2005 09:38 49 kb.log
20.09.2005 09:31 16.384 ~DFEC66.tmp
19.09.2005 18:49 27.872 java_install_reg.log
19.09.2005 18:15 16.384 ~DFEF4C.tmp
19.09.2005 16:46 147.436 $$$2.html
19.09.2005 16:39 736 Verkn�pfung mit ~DF3052.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF3009.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2918.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2893.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2879.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2790.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2876.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2774.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2753.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2739.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2716.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2693.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2691.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2690.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2601.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2594.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2583.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2579.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2564.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2554.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2553.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2452.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2443.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2285.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2283.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2278.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2276.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2237.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2130.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF2113.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF1931.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF896E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF856C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF855E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF821A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF809D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF802F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF797C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF774B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF773C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF753F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF718B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF707D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF642A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF628A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF617D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF390B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF399F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF386F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF379A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF372A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF370F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF360A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF356B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF355C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF353D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF350E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF350D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF350B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF347C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF343D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF341F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF341D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF340F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF336D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF335E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF333E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF331C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF328B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF322A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF319C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF321D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF312A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF318F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF310E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF310A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF300A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF298F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF288F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF287E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF285B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF280D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF280B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF278D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF270F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF264B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF263C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF253D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF260A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF249A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF240F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF240E.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF232B.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF238D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF219C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF218D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF207F.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF204A.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF204D.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF199C.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF92B9.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF88DF.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF84BB.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF77F1.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF76AE.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF75BA.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF72A2.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF70DD.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF64CA.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF63A2.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF46AD.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF38C0.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF39AA.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF38BB.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF38B0.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF37C0.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF36F8.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF36C8.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF36B3.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35ED.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35E2.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35E1.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35DE.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35CB.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35C2.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35B0.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF34E7.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF35A0.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF34E5.tmp.lnk
19.09.2005 16:39 736 Verkn�pfung mit ~DF34D4.tmp.lnk
17.09.2005 22:34 26.624 jfghjfgudk.exe
16.09.2005 12:52 16.384 Perflib_Perfdata_710.dat
16.09.2005 00:33 71 DFC5A2B2.TMP
13.09.2005 19:26 16.384 Perflib_Perfdata_5f4.dat
10.09.2005 16:26 16.384 Perflib_Perfdata_ac.dat
10.09.2005 10:16 12.279 fna00852.liveReg
10.09.2005 10:15 22.747 AVTMP$$$.LOG
10.09.2005 09:59 0 p2p12B.tmp
10.09.2005 09:59 0 p2p12A.tmp
10.09.2005 09:59 1.069 _isdelet.ini
09.09.2005 21:57 117 $bb.html
09.09.2005 18:17 16.384 Perflib_Perfdata_8e4.dat
09.09.2005 18:07 16.384 Perflib_Perfdata_49c.dat
09.09.2005 14:57 1.409 ZTS106.tmp
09.09.2005 14:57 28.816 ZTR105.tmp
09.09.2005 14:57 1.409 ZTS104.tmp
09.09.2005 14:57 39.084 ZTR103.tmp
09.09.2005 14:57 1.409 ZTS102.tmp
09.09.2005 14:57 64.552 ZTR101.tmp
09.09.2005 14:57 1.409 ZTS100.tmp
09.09.2005 14:57 45.952 ZTRFF.tmp
09.09.2005 14:57 1.409 ZTSFE.tmp
09.09.2005 14:57 35.856 ZTRFD.tmp
02.09.2005 14:36 343.255 asmfiles.cab
02.09.2005 14:35 468.152 p2psetup.exe
01.09.2005 18:57 0 CacheInfo.dnl
01.09.2005 15:25 16.384 ~DF1B6E.tmp
29.08.2005 19:44 10.538 control.xml
28.08.2005 20:58 188 wecerr.txt
25.08.2005 10:07 16.384 ~DF1A38.tmp
23.08.2005 02:04 9.544 c871B9.tmp
20.08.2005 23:52 53.248 unwise.exe
30.07.2005 19:52 53.369.426 NCTClipBoard.wav
28.07.2005 22:02 1.918.913 anatomie_64k.wmv



Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\WINDOWS

20.09.2005 09:41 982 win.ini
20.09.2005 09:40 0 0.log
20.09.2005 09:40 159 wiadebug.log
20.09.2005 09:40 50 wiaservc.log
20.09.2005 09:39 2.048 bootstat.dat
20.09.2005 09:38 32.540 SchedLgU.Txt
19.09.2005 18:19 593.864 ntbtlog.txt
16.09.2005 12:59 64.000 sysmanager.exe
10.09.2005 09:52 3.085.776 setupapi.log
10.09.2005 09:46 99.949 task.exe
10.09.2005 09:44 10 smdat32m.sys
09.09.2005 18:19 63.488 restore.exe
09.09.2005 14:20 708 nsw.log
09.09.2005 14:02 17.042 ModemLog_Standard 1200 bps Modem #10.txt
02.09.2005 20:05 2.761 smdat32a.sys
01.09.2005 18:28 762 cdplayer.ini
29.08.2005 19:48 31.747 wmsetup.log




Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\

20.09.2005 09:52 0 sys.txt
20.09.2005 09:51 7.780 system.txt
20.09.2005 09:50 15.352 systemtemp.txt
20.09.2005 09:46 95.981 system32.txt
20.09.2005 09:39 267.964.416 hiberfil.sys
20.09.2005 09:39 402.653.184 pagefile.sys
20.09.2005 09:09 202.752 sdlte.exe
19.09.2005 23:40 8.704 ist.exe
19.09.2005 23:38 90.269 akarexon.exe
19.09.2005 20:23 7.752 8uy6.exe
19.09.2005 20:22 8.704 akarxon.exe
18.09.2005 21:49 291 gp.exe
18.09.2005 21:37 8.704 istx.exe
18.09.2005 21:32 90.269 Gateway.exe
14.09.2005 21:57 7.752 2ws45.exe
13.09.2005 19:40 7.752 7yt3.exe
12.09.2005 20:11 90.269 F***.exe
10.09.2005 20:02 8.704 istxsetup.exe
17.08.2005 23:32 112 vdebug.txt
04.06.2005 22:12 155 TO_InstallLog.txt
04.06.2005 22:06 1.765 TDSLCheck.txt
22.03.2005 11:56 205 boot.ini
20.03.2005 16:52 0 IO.SYS
20.03.2005 16:52 0 CONFIG.SYS
20.03.2005 16:52 0 AUTOEXEC.BAT
20.03.2005 16:52 0 MSDOS.SYS
29.08.2002 01:05 235.296 ntldr
28.08.2002 21:08 47.580 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
29 Datei(en) 671.558.700 Bytes
0 Verzeichnis(se), 5.190.402.048 Bytes frei

#4 Halleluja! Nachdem ich das ganze Ausmaß der Infektion nun gesehen habe, rate ich Dir dringenst, Deine Festplatte zu formatieren und Windows neu aufzusetzen. Möglicherweise musst Du noch ein paar wichtige Daten sichern, aber Dein Windows ist so sehr verseucht, dass ich kaum glaube, dass meine Reinigungsversuche erfolgreich sind. Du hast hier alles vorstellbare drauf: Viren, Würmer, Trojaner. Deshalb auch ein Rat: ändere unverzüglich von einem sauberen PC aus sämtliche Passworte (und falls Du Online-Banking machst, die PIN!). Gehe mit dem verseuchten PC auf gar keinen Fall mehr ins Internet, bevor er nicht gereinigt (oder besser: formatiert) ist.

Wenn Du mit der Reinigung fortfahren möchtest, dann halte Dich Schritt für Schritt genau an meine Anweisungen!

Hast Du bereits etwas mit Killbox gelöscht? Sieht hier nämlich nicht so aus.

Wenn doch, dann gehe wie folgt vor (wenn nicht, dann füge bei den Dateien für Killbox die oben genannten hinzu).

Start -> Systemsteuerung -> System -> Systemwiederherstellung -> deaktivieren!

Starte den PC in den abgesicherten Modus (während des Starts F8 drücken)

CCleaner: http://virus-protect.org/temp.html
Alle Temporären Dateien löschen (alles angeklickt lassen und dann auf "Säubern" klicken)

Dann wieder Killbox (wie oben beschrieben):

c:\sdlte.exe
c:\ist.exe
c:\akarexon.exe
c:\8uy6.exe
c:\akarxon.exe
c:\gp.exe
c:\istx.exe
c:\Gateway.exe
c:\2ws45.exe
c:\F***.exe (schau bitte nach, wie der richtige Dateiname heißt, manchmal ist die Zensurfunktion dieses Forums lästig)
c:\istxsetup.exe
c:\windows\sysmanager.exe
c:\windows\task.exe
c:\windows\smdat32m.sys
c:\windows\restore.exe
c:\windows\smdat32a.sys
c:\windows\system32\rdriv.sys
c:\windows\system32\remon.sys
c:\windows\system32\ii
c:\windows\system32\svshost.exe
c:\windows\system32\TFTP4444
c:\windows\system32\lpdriver.sys
c:\windows\system32\orans.sys
c:\windows\system32\nbupd64.exe
c:\windows\system32\eraseme_18722.exe
c:\windows\system32\i
c:\windows\system32\ide21201.vxd
c:\windows\system32\wssocksapi.exe

Der PC wird neugestartet.

Nochmals bitte die datfind.bat ausführen und erneut die Logs posten.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hallo,

habe alles so getan wie ich sollte. Ein Freund hat sich allerdings bereit erklärt mir morgen meine Festplatte zu formatieren und ein neues Betreibssystem zu installieren. Muß irgendetwas besonderes beachten...bzw. er?


Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\WINDOWS\system32

20.09.2005 16:38 7.168 rdriv.sys
20.09.2005 15:34 565 ii
20.09.2005 09:06 7.168 remon.sys
19.09.2005 16:56 104.448 svshost.exe
19.09.2005 16:55 0 TFTP4444
19.09.2005 14:16 7.168 lpdriver.sys
17.09.2005 22:18 2.206 wpa.dbl
16.09.2005 12:56 7.168 orans.sys
14.09.2005 21:54 83.456 nbupd64.exe
11.09.2005 10:13 63.488 eraseme_18722.exe
11.09.2005 10:12 71 i




Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

20.09.2005 16:38 512 ~DF31C1.tmp
20.09.2005 16:38 16.384 Perflib_Perfdata_6cc.dat
20.09.2005 16:36 204 jusched.log
20.09.2005 15:51 723 kb.log
20.09.2005 15:40 16.384 ~DF1C4E.tmp
5 Datei(en) 34.207 Bytes
0 Verzeichnis(se), 6.298.816.512 Bytes frei


Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\WINDOWS

20.09.2005 16:38 982 win.ini
20.09.2005 16:37 0 0.log
20.09.2005 16:37 50 wiaservc.log
20.09.2005 16:37 159 wiadebug.log
20.09.2005 16:37 0 Sti_Trace.log
20.09.2005 16:36 236 SchedLgU.Txt
20.09.2005 16:36 2.048 bootstat.dat
20.09.2005 15:53 113.212 ntbtlog.txt
16.09.2005 12:59 64.000 sysmanager.exe
10.09.2005 09:46 99.949 task.exe
10.09.2005 09:44 10 smdat32m.sys
09.09.2005 18:19 63.488 restore.exe
09.09.2005 14:02 17.042 ModemLog_Standard 1200 bps Modem #10.txt
02.09.2005 20:05 2.761 smdat32a.sys
01.09.2005 18:28 762 cdplayer.ini
20.08.2005 23:51 84 AudStu.INI


Datentr„ger in Laufwerk C: ist Windows XP Professional Boot
Volumeseriennummer: 6C90-A13C

Verzeichnis von C:\

20.09.2005 16:41 0 sys.txt
20.09.2005 16:41 6.275 system.txt
20.09.2005 16:40 510 systemtemp.txt
20.09.2005 16:38 95.929 system32.txt
20.09.2005 16:36 267.964.416 hiberfil.sys
20.09.2005 16:36 402.653.184 pagefile.sys
19.09.2005 23:40 8.704 ist.exe
19.09.2005 23:38 90.269 akarexon.exe
19.09.2005 20:23 7.752 8uy6.exe
19.09.2005 20:22 8.704 akarxon.exe
18.09.2005 21:49 291 gp.exe
18.09.2005 21:37 8.704 istx.exe
18.09.2005 21:32 90.269 Gateway.exe
14.09.2005 21:57 7.752 2ws45.exe
13.09.2005 19:40 7.752 7yt3.exe
12.09.2005 20:11 90.269 F***.exe
10.09.2005 20:02 8.704 istxsetup.exe
17.08.2005 23:32 112 vdebug.txt

#6 Ja, es nützt nichts. Der Müll kommt ständig wieder. Du solltest vorher Mails und andere wichtige Dokumente sichern. EVtl. auf eine zweite Festplatte/Partition oder auf CD brennen.

Nach der Neuinstallation ist es wichtig, einen Virenscanner zu installieren und alle Windowsupdates aufzuspielen. Statt des Internet Explorers benutze Firefox (aber das tust Du ja schon, wie ich gesehen habe). Ebenso ist eine Firewall (bspw. die kostenlose von http://sygate.de) zu empfehlen.
Mache regelmäßig Scans mit Deinem Virenscanner (und natürlich regelmäßig updaten!). Außredem verwende AdAware (http://lavasoft.de) und Spybot S&D (http://security.kolla.de), um Dich frei von Spyware zu halten.

Von Tauschbörsen wie Kazaa, BitTorrent und eMule ist abzuraten, da man sich durch sowas immer wieder mal einen Virus einfängt.

Bisher verwendest Du Antivir von H+BEDV, ich würde aber über kurz oder lang auf einen besseren Virenscanner umsteigen (der dann allerdings auch ein bisschen was kosten wird). Viel mehr als 40 € solltest Du aber nur für einen Virenscanner nicht ausgeben. In der gleichen Preisklasse gibt es bereits auch Komplettlösungen mit Virenscanner, Firewall, AntiSpyware, Spamfilter und Kindersicherung (falls man es braucht). Bspw. F-Secure Internet Security 2006.

Wichtig ist auch Dein Verhalten im Internet. Man sollte nicht überall draufklicken, was beworben wird. Und erst recht nur das installieren, wo man weiß, dass es vertrauenswürdig ist. Bei E-Mails (insbesondere die Anhänge) gilt dasselbe. Besser, man ist etwas zu misstrauisch, als dass man später feststellen muss, dass ein Trojaner die Bankdaten ausspioniert hat und man nun 2.000 € weniger auf dem Konto hat.

Und wie gesagt, sobald Dein System sauber und abgesichert ist, solltest Du unverzüglich sämtliche Passworte ändern (eBay, PayPal, Online Banking, Freemailer etc).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 In Ordnung. Vielen ,vielen Dank! Echt super, dass ich diese Seite gefunden habe! Hat mir auf jeden Fall weiter geholfen!

Danke. Gruß