C:\windows\system32\rdriv.sys |
||
---|---|---|
#0
| ||
19.09.2005, 19:05
...neu hier
Beiträge: 4 |
||
|
||
20.09.2005, 03:34
Member
Beiträge: 4730 |
#2
Meine Empfehlung: formatieren, da das System quasi heillos mit Viren verseucht ist.
Eine Säuberung würde hier vermutlich lange dauern und ein Erfolg ist nicht garantiert. Wenn Du es dennoch versuchen möchtest, dann führe folgende Schritte durch: HijackThis -> scan -> Häkchen setzen -> "fix checked" O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing) O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file) O4 - HKLM\..\Run: [qPeexAF] C:\WINDOWS\gvmeic.exe O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe O4 - HKLM\..\Run: [hostserv] hostserv.exe O4 - HKLM\..\Run: [winsupdatesysmngr64] winsys64mnger.exe O4 - HKLM\..\Run: [*WssocksAPI] wssocksapi.exe O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [Windows Update 64] nbupd64.exe O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE O4 - HKLM\..\Run: [MICROSFT RPC UPDATE] knxwzofnu.EXE O4 - HKLM\..\Run: [Microsoft Update Manager] svshost.exe O4 - HKLM\..\RunServices: [hostserv] hostserv.exe O4 - HKLM\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe O4 - HKLM\..\RunServices: [*WssocksAPI] wssocksapi.exe O4 - HKLM\..\RunServices: [Windows Update 64] nbupd64.exe O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE O4 - HKLM\..\RunServices: [MICROSFT RPC UPDATE] knxwzofnu.EXE O4 - HKLM\..\RunServices: [Microsoft Update Manager] svshost.exe O4 - HKLM\..\RunOnce: [Windows Update 64] nbupd64.exe O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - HKCU\..\Run: [hostserv] hostserv.exe O4 - HKCU\..\Run: [winsupdatesysmngr64] winsys64mnger.exe O4 - HKCU\..\Run: [*WssocksAPI] wssocksapi.exe O4 - HKCU\..\Run: [Windows Update 64] nbupd64.exe O4 - HKCU\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe O4 - HKCU\..\RunOnce: [Windows Update 64] nbupd64.exe O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe (file missing) O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing) Killbox: http://virus-protect.org/killbox.html Aktiviere "Delete on Reboot". Füge in das Eingabefeld ein und bestätige jew. mit Klick rechts auf das Kreuz (die Frage, ob neugestartet werden soll, erst nach der letzten Datei mit JA beantworten!): C:\Programme\RXToolBar\sfcont.dll C:\WINDOWS\gvmeic.exe C:\WINDOWS\logon.exe c:\windows\system32\hostserv.exe c:\windows\system32\winsys64mnger.exe c:\windows\system32\wssocksapi.exe C:\Program Files\Media Gateway\MediaGateway.exe c:\windows\system32\nbupd64.exe c:\windows\system32\wzikkqdcoc.EXE c:\windows\system32\knxwzofnu.EXE c:\windows\system32\svshost.exe C:\Programme\RXToolBar\sfcont.dll C:\WINDOWS\sysmanager.exe C:\WINDOWS\task.exe C:\WINDOWS\pnpasn32.exe C:\WINDOWS\wordpad.exe C:\WINDOWS\SYSTEM32\RDRIV.SYS Der PC wird neugestartet. Folge den Anweisungen auf folgender Seite http://virus-protect.org/datfindbat.html und poste die vier daraus resultierenden Log-Dateien. Aber bitte nur die Einträge der vergangenen 20 Tage posten (vor jedem Eintrag steht ein Datum). Dann sehen wir weiter. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
20.09.2005, 09:53
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo,
erstmal vielen Dank, dass Du Dich der Herausforderung stellst und Dir Zeit Zeit nimmst! Danke. Hier Sind die Log Dateien wie angefordert. Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\WINDOWS\system32 20.09.2005 09:40 7.168 rdriv.sys 20.09.2005 09:06 7.168 remon.sys 19.09.2005 23:38 499 ii 19.09.2005 16:56 104.448 svshost.exe 19.09.2005 16:55 0 TFTP4444 19.09.2005 14:16 7.168 lpdriver.sys 17.09.2005 22:18 2.206 wpa.dbl 16.09.2005 12:56 7.168 orans.sys 14.09.2005 21:54 83.456 nbupd64.exe 11.09.2005 10:13 63.488 eraseme_18722.exe 11.09.2005 10:12 71 i 11.09.2005 10:04 4.720 ide21201.vxd 09.09.2005 16:52 45.056 wssocksapi.exe 30.07.2005 17:26 305.318 perfh009.dat 30.07.2005 17:26 37.760 perfc009.dat 30.07.2005 17:26 309.810 perfh007.dat 30.07.2005 17:26 45.672 perfc007.dat 30.07.2005 17:26 703.178 PerfStringBackup.INI 30.07.2005 15:03 25.065 wmpscheme.xml 30.07.2005 15:01 16.832 amcompat.tlb 30.07.2005 15:01 23.392 nscompat.tlb 28.07.2005 20:49 1.632 d3d8caps.dat Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 20.09.2005 09:40 16.384 Perflib_Perfdata_300.dat 20.09.2005 09:40 102.955 jusched.log 20.09.2005 09:38 49 kb.log 20.09.2005 09:31 16.384 ~DFEC66.tmp 19.09.2005 18:49 27.872 java_install_reg.log 19.09.2005 18:15 16.384 ~DFEF4C.tmp 19.09.2005 16:46 147.436 $$$2.html 19.09.2005 16:39 736 Verknpfung mit ~DF3052.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF3009.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2918.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2893.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2879.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2790.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2876.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2774.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2753.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2739.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2716.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2693.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2691.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2690.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2601.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2594.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2583.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2579.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2564.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2554.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2553.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2452.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2443.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2285.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2283.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2278.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2276.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2237.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2130.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF2113.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF1931.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF896E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF856C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF855E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF821A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF809D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF802F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF797C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF774B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF773C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF753F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF718B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF707D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF642A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF628A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF617D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF390B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF399F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF386F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF379A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF372A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF370F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF360A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF356B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF355C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF353D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF350E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF350D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF350B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF347C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF343D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF341F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF341D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF340F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF336D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF335E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF333E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF331C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF328B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF322A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF319C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF321D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF312A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF318F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF310E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF310A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF300A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF298F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF288F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF287E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF285B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF280D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF280B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF278D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF270F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF264B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF263C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF253D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF260A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF249A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF240F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF240E.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF232B.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF238D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF219C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF218D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF207F.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF204A.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF204D.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF199C.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF92B9.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF88DF.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF84BB.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF77F1.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF76AE.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF75BA.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF72A2.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF70DD.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF64CA.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF63A2.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF46AD.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF38C0.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF39AA.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF38BB.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF38B0.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF37C0.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF36F8.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF36C8.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF36B3.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35ED.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35E2.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35E1.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35DE.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35CB.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35C2.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35B0.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF34E7.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF35A0.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF34E5.tmp.lnk 19.09.2005 16:39 736 Verknpfung mit ~DF34D4.tmp.lnk 17.09.2005 22:34 26.624 jfghjfgudk.exe 16.09.2005 12:52 16.384 Perflib_Perfdata_710.dat 16.09.2005 00:33 71 DFC5A2B2.TMP 13.09.2005 19:26 16.384 Perflib_Perfdata_5f4.dat 10.09.2005 16:26 16.384 Perflib_Perfdata_ac.dat 10.09.2005 10:16 12.279 fna00852.liveReg 10.09.2005 10:15 22.747 AVTMP$$$.LOG 10.09.2005 09:59 0 p2p12B.tmp 10.09.2005 09:59 0 p2p12A.tmp 10.09.2005 09:59 1.069 _isdelet.ini 09.09.2005 21:57 117 $bb.html 09.09.2005 18:17 16.384 Perflib_Perfdata_8e4.dat 09.09.2005 18:07 16.384 Perflib_Perfdata_49c.dat 09.09.2005 14:57 1.409 ZTS106.tmp 09.09.2005 14:57 28.816 ZTR105.tmp 09.09.2005 14:57 1.409 ZTS104.tmp 09.09.2005 14:57 39.084 ZTR103.tmp 09.09.2005 14:57 1.409 ZTS102.tmp 09.09.2005 14:57 64.552 ZTR101.tmp 09.09.2005 14:57 1.409 ZTS100.tmp 09.09.2005 14:57 45.952 ZTRFF.tmp 09.09.2005 14:57 1.409 ZTSFE.tmp 09.09.2005 14:57 35.856 ZTRFD.tmp 02.09.2005 14:36 343.255 asmfiles.cab 02.09.2005 14:35 468.152 p2psetup.exe 01.09.2005 18:57 0 CacheInfo.dnl 01.09.2005 15:25 16.384 ~DF1B6E.tmp 29.08.2005 19:44 10.538 control.xml 28.08.2005 20:58 188 wecerr.txt 25.08.2005 10:07 16.384 ~DF1A38.tmp 23.08.2005 02:04 9.544 c871B9.tmp 20.08.2005 23:52 53.248 unwise.exe 30.07.2005 19:52 53.369.426 NCTClipBoard.wav 28.07.2005 22:02 1.918.913 anatomie_64k.wmv Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\WINDOWS 20.09.2005 09:41 982 win.ini 20.09.2005 09:40 0 0.log 20.09.2005 09:40 159 wiadebug.log 20.09.2005 09:40 50 wiaservc.log 20.09.2005 09:39 2.048 bootstat.dat 20.09.2005 09:38 32.540 SchedLgU.Txt 19.09.2005 18:19 593.864 ntbtlog.txt 16.09.2005 12:59 64.000 sysmanager.exe 10.09.2005 09:52 3.085.776 setupapi.log 10.09.2005 09:46 99.949 task.exe 10.09.2005 09:44 10 smdat32m.sys 09.09.2005 18:19 63.488 restore.exe 09.09.2005 14:20 708 nsw.log 09.09.2005 14:02 17.042 ModemLog_Standard 1200 bps Modem #10.txt 02.09.2005 20:05 2.761 smdat32a.sys 01.09.2005 18:28 762 cdplayer.ini 29.08.2005 19:48 31.747 wmsetup.log Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\ 20.09.2005 09:52 0 sys.txt 20.09.2005 09:51 7.780 system.txt 20.09.2005 09:50 15.352 systemtemp.txt 20.09.2005 09:46 95.981 system32.txt 20.09.2005 09:39 267.964.416 hiberfil.sys 20.09.2005 09:39 402.653.184 pagefile.sys 20.09.2005 09:09 202.752 sdlte.exe 19.09.2005 23:40 8.704 ist.exe 19.09.2005 23:38 90.269 akarexon.exe 19.09.2005 20:23 7.752 8uy6.exe 19.09.2005 20:22 8.704 akarxon.exe 18.09.2005 21:49 291 gp.exe 18.09.2005 21:37 8.704 istx.exe 18.09.2005 21:32 90.269 Gateway.exe 14.09.2005 21:57 7.752 2ws45.exe 13.09.2005 19:40 7.752 7yt3.exe 12.09.2005 20:11 90.269 F***.exe 10.09.2005 20:02 8.704 istxsetup.exe 17.08.2005 23:32 112 vdebug.txt 04.06.2005 22:12 155 TO_InstallLog.txt 04.06.2005 22:06 1.765 TDSLCheck.txt 22.03.2005 11:56 205 boot.ini 20.03.2005 16:52 0 IO.SYS 20.03.2005 16:52 0 CONFIG.SYS 20.03.2005 16:52 0 AUTOEXEC.BAT 20.03.2005 16:52 0 MSDOS.SYS 29.08.2002 01:05 235.296 ntldr 28.08.2002 21:08 47.580 NTDETECT.COM 18.08.2001 13:00 4.952 bootfont.bin 29 Datei(en) 671.558.700 Bytes 0 Verzeichnis(se), 5.190.402.048 Bytes frei |
|
|
||
20.09.2005, 11:52
Member
Beiträge: 4730 |
#4
Halleluja! Nachdem ich das ganze Ausmaß der Infektion nun gesehen habe, rate ich Dir dringenst, Deine Festplatte zu formatieren und Windows neu aufzusetzen. Möglicherweise musst Du noch ein paar wichtige Daten sichern, aber Dein Windows ist so sehr verseucht, dass ich kaum glaube, dass meine Reinigungsversuche erfolgreich sind. Du hast hier alles vorstellbare drauf: Viren, Würmer, Trojaner. Deshalb auch ein Rat: ändere unverzüglich von einem sauberen PC aus sämtliche Passworte (und falls Du Online-Banking machst, die PIN!). Gehe mit dem verseuchten PC auf gar keinen Fall mehr ins Internet, bevor er nicht gereinigt (oder besser: formatiert) ist.
Wenn Du mit der Reinigung fortfahren möchtest, dann halte Dich Schritt für Schritt genau an meine Anweisungen! Hast Du bereits etwas mit Killbox gelöscht? Sieht hier nämlich nicht so aus. Wenn doch, dann gehe wie folgt vor (wenn nicht, dann füge bei den Dateien für Killbox die oben genannten hinzu). Start -> Systemsteuerung -> System -> Systemwiederherstellung -> deaktivieren! Starte den PC in den abgesicherten Modus (während des Starts F8 drücken) CCleaner: http://virus-protect.org/temp.html Alle Temporären Dateien löschen (alles angeklickt lassen und dann auf "Säubern" klicken) Dann wieder Killbox (wie oben beschrieben): c:\sdlte.exe c:\ist.exe c:\akarexon.exe c:\8uy6.exe c:\akarxon.exe c:\gp.exe c:\istx.exe c:\Gateway.exe c:\2ws45.exe c:\F***.exe (schau bitte nach, wie der richtige Dateiname heißt, manchmal ist die Zensurfunktion dieses Forums lästig) c:\istxsetup.exe c:\windows\sysmanager.exe c:\windows\task.exe c:\windows\smdat32m.sys c:\windows\restore.exe c:\windows\smdat32a.sys c:\windows\system32\rdriv.sys c:\windows\system32\remon.sys c:\windows\system32\ii c:\windows\system32\svshost.exe c:\windows\system32\TFTP4444 c:\windows\system32\lpdriver.sys c:\windows\system32\orans.sys c:\windows\system32\nbupd64.exe c:\windows\system32\eraseme_18722.exe c:\windows\system32\i c:\windows\system32\ide21201.vxd c:\windows\system32\wssocksapi.exe Der PC wird neugestartet. Nochmals bitte die datfind.bat ausführen und erneut die Logs posten. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
20.09.2005, 16:44
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo,
habe alles so getan wie ich sollte. Ein Freund hat sich allerdings bereit erklärt mir morgen meine Festplatte zu formatieren und ein neues Betreibssystem zu installieren. Muß irgendetwas besonderes beachten...bzw. er? Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\WINDOWS\system32 20.09.2005 16:38 7.168 rdriv.sys 20.09.2005 15:34 565 ii 20.09.2005 09:06 7.168 remon.sys 19.09.2005 16:56 104.448 svshost.exe 19.09.2005 16:55 0 TFTP4444 19.09.2005 14:16 7.168 lpdriver.sys 17.09.2005 22:18 2.206 wpa.dbl 16.09.2005 12:56 7.168 orans.sys 14.09.2005 21:54 83.456 nbupd64.exe 11.09.2005 10:13 63.488 eraseme_18722.exe 11.09.2005 10:12 71 i Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 20.09.2005 16:38 512 ~DF31C1.tmp 20.09.2005 16:38 16.384 Perflib_Perfdata_6cc.dat 20.09.2005 16:36 204 jusched.log 20.09.2005 15:51 723 kb.log 20.09.2005 15:40 16.384 ~DF1C4E.tmp 5 Datei(en) 34.207 Bytes 0 Verzeichnis(se), 6.298.816.512 Bytes frei Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\WINDOWS 20.09.2005 16:38 982 win.ini 20.09.2005 16:37 0 0.log 20.09.2005 16:37 50 wiaservc.log 20.09.2005 16:37 159 wiadebug.log 20.09.2005 16:37 0 Sti_Trace.log 20.09.2005 16:36 236 SchedLgU.Txt 20.09.2005 16:36 2.048 bootstat.dat 20.09.2005 15:53 113.212 ntbtlog.txt 16.09.2005 12:59 64.000 sysmanager.exe 10.09.2005 09:46 99.949 task.exe 10.09.2005 09:44 10 smdat32m.sys 09.09.2005 18:19 63.488 restore.exe 09.09.2005 14:02 17.042 ModemLog_Standard 1200 bps Modem #10.txt 02.09.2005 20:05 2.761 smdat32a.sys 01.09.2005 18:28 762 cdplayer.ini 20.08.2005 23:51 84 AudStu.INI Datentr„ger in Laufwerk C: ist Windows XP Professional Boot Volumeseriennummer: 6C90-A13C Verzeichnis von C:\ 20.09.2005 16:41 0 sys.txt 20.09.2005 16:41 6.275 system.txt 20.09.2005 16:40 510 systemtemp.txt 20.09.2005 16:38 95.929 system32.txt 20.09.2005 16:36 267.964.416 hiberfil.sys 20.09.2005 16:36 402.653.184 pagefile.sys 19.09.2005 23:40 8.704 ist.exe 19.09.2005 23:38 90.269 akarexon.exe 19.09.2005 20:23 7.752 8uy6.exe 19.09.2005 20:22 8.704 akarxon.exe 18.09.2005 21:49 291 gp.exe 18.09.2005 21:37 8.704 istx.exe 18.09.2005 21:32 90.269 Gateway.exe 14.09.2005 21:57 7.752 2ws45.exe 13.09.2005 19:40 7.752 7yt3.exe 12.09.2005 20:11 90.269 F***.exe 10.09.2005 20:02 8.704 istxsetup.exe 17.08.2005 23:32 112 vdebug.txt |
|
|
||
20.09.2005, 17:33
Member
Beiträge: 4730 |
#6
Ja, es nützt nichts. Der Müll kommt ständig wieder. Du solltest vorher Mails und andere wichtige Dokumente sichern. EVtl. auf eine zweite Festplatte/Partition oder auf CD brennen.
Nach der Neuinstallation ist es wichtig, einen Virenscanner zu installieren und alle Windowsupdates aufzuspielen. Statt des Internet Explorers benutze Firefox (aber das tust Du ja schon, wie ich gesehen habe). Ebenso ist eine Firewall (bspw. die kostenlose von http://sygate.de) zu empfehlen. Mache regelmäßig Scans mit Deinem Virenscanner (und natürlich regelmäßig updaten!). Außredem verwende AdAware (http://lavasoft.de) und Spybot S&D (http://security.kolla.de), um Dich frei von Spyware zu halten. Von Tauschbörsen wie Kazaa, BitTorrent und eMule ist abzuraten, da man sich durch sowas immer wieder mal einen Virus einfängt. Bisher verwendest Du Antivir von H+BEDV, ich würde aber über kurz oder lang auf einen besseren Virenscanner umsteigen (der dann allerdings auch ein bisschen was kosten wird). Viel mehr als 40 € solltest Du aber nur für einen Virenscanner nicht ausgeben. In der gleichen Preisklasse gibt es bereits auch Komplettlösungen mit Virenscanner, Firewall, AntiSpyware, Spamfilter und Kindersicherung (falls man es braucht). Bspw. F-Secure Internet Security 2006. Wichtig ist auch Dein Verhalten im Internet. Man sollte nicht überall draufklicken, was beworben wird. Und erst recht nur das installieren, wo man weiß, dass es vertrauenswürdig ist. Bei E-Mails (insbesondere die Anhänge) gilt dasselbe. Besser, man ist etwas zu misstrauisch, als dass man später feststellen muss, dass ein Trojaner die Bankdaten ausspioniert hat und man nun 2.000 € weniger auf dem Konto hat. Und wie gesagt, sobald Dein System sauber und abgesichert ist, solltest Du unverzüglich sämtliche Passworte ändern (eBay, PayPal, Online Banking, Freemailer etc). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
20.09.2005, 22:28
...neu hier
Themenstarter Beiträge: 4 |
#7
In Ordnung. Vielen ,vielen Dank! Echt super, dass ich diese Seite gefunden habe! Hat mir auf jeden Fall weiter geholfen!
Danke. Gruß |
|
|
||
Ich, ein Mädel mit nicht sehr viel Ahnung von PC`s habe aber in letzter Zeit andauernd folgenden Virus C:\WINDOWS\SYSTEM32\RDRIV.SYS! Obwohl ich auf den selben Seiten gesurft bin wie immer.
Ich kann die Datei löschen so ich ich will, er will nicht weg! Habe Ihn umbenannt, verschoben.. Nichts hilft! Andauuernd zeigt mir mein Anti Vir den Virus an, allerdings ohne etwas gegen ihn ausrichten zu können..
Bitte, kann mir jemand helfen? Was soll ich tun?
Habe mein Hijackthis Log mitgeschickt.
Logfile of HijackThis v1.99.1
Scan saved at 17:43:43, on 19.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysmanager.exe
C:\WINDOWS\System32\nbupd64.exe
C:\WINDOWS\System32\wssocksapi.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINDOWS\System32\wzikkqdcoc.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\knxwzofnu.EXE
C:\WINDOWS\System32\svshost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\cmd.exe
D:\Mozilla Firefox Internet Browser\firefox.exe
C:\akarexon.exe
C:\WINDOWS\task.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [qPeexAF] C:\WINDOWS\gvmeic.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\Run: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\Run: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\Run: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKLM\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\..\RunServices: [Windows Update 64] nbupd64.exe
O4 - HKLM\..\RunServices: [MICROSFT ANTIVIRUS UPDATE SUPPORT] wzikkqdcoc.EXE
O4 - HKLM\..\RunServices: [MICROSFT RPC UPDATE] knxwzofnu.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Manager] svshost.exe
O4 - HKLM\..\RunOnce: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKCU\..\Run: [Windows Update 64] nbupd64.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\RunOnce: [Windows Update 64] nbupd64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP Professional\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{845F4FEA-5456-4FB4-9FF3-8D6CD95D6DBB}: NameServer = 217.237.151.225 217.237.150.225
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe
O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe (file missing)
O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)