Rechner stürzt immer ab!

#0
12.02.2007, 14:36
...neu hier

Beiträge: 5
#1 Hilfe ich weiß nicht was ich tun soll. Mein Rechner stürzt nach wenigen Minuten immer ab. Windows Updates werden zwar gedownloadet aber nicht installiert. ich vermute Virenbefall!!!

Hilfe, hilfe

Janina
Seitenanfang Seitenende
12.02.2007, 15:21
Member

Beiträge: 26
#2 Hallo janina2403,

führe dies durch:

Thread [Beitrag] im Forum erstellen - aussagekraeftigen Titel erstellen

Poste deine Problem zu Viren, Spyware, Browser-Hijackern mit folgenden Angaben:

1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------------------------------------------------------

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
http://www.stevengould.org/downloads/cleanup/CleanUp452.exe
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
http://download.bleepingcomputer.com/sUBs/combofix.exe

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
Alternative, falls die links nicht funktionieren:
http://board.protecus.de/download.php?id=213002.datFind.bat

wenn der Platz im Thread nicht ausreicht, speichere als txt-Datei und poste es als Anhang.
Diese Funktion findet man unten. (Datei: ....... Durchsuchen)

-----------------------------------------------------------------------------------------------

5..
Problembeschreibung / Symptome ?
Das Problem ausfuehrlich beschreiben und falls vorhanden auch die Pfade der Viren, die vom Virenscanner schon gefunden , aber nicht geloescht werden konnten... mit angeben.


MFG

Ratze
Seitenanfang Seitenende
12.02.2007, 15:27
...neu hier

Themenstarter

Beiträge: 5
#3 Logfile of HijackThis v1.99.1
Scan saved at 15:29:18, on 12.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\EzButton System V3.0\EzButton.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\J.Görlich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [EzButton System] C:\Programme\EzButton System V3.0\EzButton.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKLM\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe
O4 - HKLM\..\RunServices: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe
O4 - HKCU\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKCU\..\Run: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
O4 - HKCU\..\RunServices: [Intec Services Driverrs] winrvc.exe
O4 - HKCU\..\RunServices: [Windows Portable Device Drivers] C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {3364B906-6EF0-4C06-9FD7-21A7375DD870} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10469377076b7c4bc106/netzip/RdxIE601_de.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164403867717
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EC0686D-28E6-4AB4-80CB-B6B39B9E1FCC}: NameServer = 217.237.150.205 217.237.150.188
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe




Ich glaube ich bin zu blond, ich weiß gar nicht was ich hier mache!

Aber danke Janina


"J.G”rlich" - 07-02-12 15:36:23 Service Pack 1
ComboFix 07-02-11 - Running from: "C:\Dokumente und Einstellungen\J.G”rlich\Eigene Dateien"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\.exe


((((((((((((((((((((((((((((((( Files Created from 2007-01-12 to 2007-02-12 ))))))))))))))))))))))))))))))))))


2007-02-12 14:55 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-02-12 14:55 <DIR> d-------- C:\WINDOWS\LastGood
2007-01-20 12:45 57,856 --ahs---- C:\WINDOWS\system32\urdvxc.exe
2007-01-20 12:45 57,856 --a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\rltwvknv.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-12 15:10 -------- d-------- C:\Programme\t-dsl speedmanager
2007-02-12 15:07 -------- d-------- C:\Programme\messenger
2007-02-12 15:06 -------- d-------- C:\Programme\Gemeinsame Dateien\marmiko shared
2007-02-12 15:06 -------- d-------- C:\Programme\ezbutton system v3.0
2007-02-12 15:06 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-01 16:22 32256 --a------ C:\WINDOWS\system32\winlogin32.exe
2007-01-20 14:35 -------- d-------- C:\Programme\regcleaner
2006-12-22 20:55 -------- d-------- C:\Programme\abc amber audio converter
2006-11-23 22:53 62974 --a------ C:\WINDOWS\system32\perfc007.dat
2006-11-23 22:53 386912 --a------ C:\WINDOWS\system32\perfh007.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"MSMSGS"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"cpanel"="C:\\WINDOWS\\System32\\winlogin32.exe"
"Intec Services Driverrs"="winrvc.exe"
"Windows Portable Device Drivers"="C:\\WINDOWS\\System32\\drivers\\MSKSVRVS.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"="winrvc.exe"
"Windows Portable Device Drivers"="C:\\WINDOWS\\System32\\drivers\\MSKSVRVS.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"EzButton System"="C:\\Programme\\EzButton System V3.0\\EzButton.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""
"Intec Services Driverrs"="winrvc.exe"
"cpanel"="C:\\WINDOWS\\System32\\winlogin32.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"Windows Portable Device Drivers"="C:\\WINDOWS\\System32\\drivers\\MSKSVRVS.EXE"
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"="winrvc.exe"
"Windows Portable Device Drivers"="C:\\WINDOWS\\System32\\drivers\\MSKSVRVS.EXE"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"cpanel"="C:\\WINDOWS\\System32\\winlogin32.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"cpanel"="C:\\WINDOWS\\System32\\winlogin32.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-12 15:37:47


Ist das so richtig???

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2CFA-B7F8

Verzeichnis von C:\WINDOWS\system32

12.02.2007 15:27 2.206 wpa.dbl
12.02.2007 14:58 0 asfiles.txt
12.02.2007 14:55 2.550 Uninstall.ico
12.02.2007 14:55 1.406 Help.ico
12.02.2007 14:55 30.590 pavas.ico
12.02.2007 14:32 57.856 urdvxc.exe
01.02.2007 16:22 32.256 winlogin32.exe
05.01.2007 15:38 96 bla.txt

03.01.2007 00:19 10.980.776 MRT.exe
24.11.2006 22:43 216.064 FNTCACHE.DAT
24.11.2006 22:18 65.679 NULL
23.11.2006 22:57 16.832 amcompat.tlb
23.11.2006 22:57 23.392 nscompat.tlb
Dieser Beitrag wurde am 12.02.2007 um 15:41 Uhr von janina2403 editiert.
Seitenanfang Seitenende
13.02.2007, 14:22
Member

Beiträge: 26
#4 Hallo,

dein System ist ziemlich überhäuft von Würmern:/,

zunächst starte hijackthis und fixe folgende einträge:

O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe

O4 - HKLM\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe

O4 - HKCU\..\Run: [cpanel] C:\WINDOWS\System32\winlogin32.exe

O4 - HKCU\..\Run: [Intec Services Driverrs] winrvc.exe

O4 - HKCU\..\RunServices: [Intec Services Driverrs] winrvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

Also vor dieses Einträgen aber NUR vor diesen Haken setzen und fixen lassen!
Neustart!
Dann Antivirenprogramm z.B. Antivir system scannen lassen, logfile posten, windows updates durchführen. und vielmehr kann ich dann auch nicht für dich tun, wenn der rechner dann immer noch nicht flüssig läuft, wende dich bitte hier im forum an sabina oder andere moderatoren.

MFG

Ratze
Seitenanfang Seitenende
14.02.2007, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 janina2403

Information: Virus Mal/Packer - Worm/Allaple
http://virus-protect.org/artikel/spyware/irdvxc_exe.html
http://virus-protect.org/artikel/dienste/microsoftagent.html

-----------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"
unter C:\ findet man nun den SDFix-Ordner

----------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"cpanel"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"cpanel"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"cpanel"=-
"Intec Services Driverrs"=-
"Windows Portable Device Drivers"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Intec Services Driverrs"=-
"Windows Portable Device Drivers"=-

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\runservices|Intec Services Driverrs
HKLM\software\microsoft\windows\currentversion\runservices|Windows Portable Device Drivers
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Intec Services Driverrs
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|cpanel

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows

Files to delete:
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\winrvc.exe
C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus
C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus
C:\WINDOWS\System32\drivers\MSKSVRVS.EXE
C:\WINDOWS\system32\urdvxc.exe
C:\WINDOWS\system32\winlogin32.exe
C:\WINDOWS\system32\bla.txt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rltwvknv.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

««
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

---------------
weiterhin im abgesicherten Modus

gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

------------------

http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken

SDFix.zip

reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.02.2007, 21:35
...neu hier

Themenstarter

Beiträge: 5
#6 SDFix: Version 1.65

Run by: Administrator - 16.02.2007 @ 21:32:32,97

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:



Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\J.G”rlich\Eigene Dateien\~WRL0005.tmp
C:\Dokumente und Einstellungen\J.G”rlich\Eigene Dateien\~WRL2175.tmp
C:\Dokumente und Einstellungen\J.G”rlich\Eigene Dateien\Examensarbeit\~WRL1747.tmp
C:\Dokumente und Einstellungen\J.G”rlich\Eigene Dateien\Examensarbeit\~WRL2664.tmp
C:\Dokumente und Einstellungen\J.G”rlich\Schule\~WRL0002.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\04c2d1dfcab07b7a2e1cd783bd1a4b98\BIT21.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1909286407405d5d73be1130e1bc431f\BIT1B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\196f231335b03ce2a195fb346c2ff090\BIT15.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1af7ea2ce5f68313959feea3558dfbe7\BIT44.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1d89172dbe4441fe29671865aaf6e82c\BIT28.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1d9747aac218e6aee28c1944d08d62ce\BIT31.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c0d6ae612bf2508e86d63ab316e1a62\download\BIT20.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2c46c87988cc9b3fca2263f0b4783356\BIT14.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d767ee61363ff58f5b995bfc325d608\BIT2E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2e2698573b22a1d5d0050ceeddb7a7f4\BIT3B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\36a254aa14abf4f4b1778393f4f86482\BIT24.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\38f310b0eb9d48552188e2c0a48459f6\BIT30.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\41adb065561b157a2eefd42a3fcdd94b\BIT29.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\44ac99a9530bf66ba18f9e0ba7ddf768\BIT3C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\44e0e640ad0aba345d2c2b83666d22ba\BIT2C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\454de24695b7f7840ad386c2a048b9eb\BIT10.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\48095a8ef56397e6b1b62d116d33e9b8\download\BIT32.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4fec5b7f793ed44951ec4e5dc8b9c57a\BIT19.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\53caff40a6229dd8ec52189dac1581db\BIT46.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\54cbfb4e3e4b0e850181e6fe045a0565\BIT3F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\55e02b12277b70d9f7c81ccdab9956d1\download\BIT2D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\625bb891c8b0844ec9592048341ef3fd\download\BIT2E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\647387759503564cceb9825f89ba28e5\BIT22.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66ef5d4c04bf4a167571129d09b14e03\BIT3D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\68657159f736f67055f01e58abda9ed2\BIT1C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\691dc49a845de5f28bb86f6ed631c2a0\BIT26.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6b246a81883f6287c7b3dfae03b3cb7e\BIT11.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6bf392fe46ebecaaba8fa4132361c18e\BIT43.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6cf435d25ed7211c74e34450b0269804\BIT45.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6d5ef9c905cd8213fab533d23aa1d5de\BIT2B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7491982196c67e15531a29c47782966a\BIT13.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7d99d90c3a1337de52eac0b73c8599ee\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\83ead157e2c8237ffe391022bf55b93a\BIT33.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8d7b91eac1bbb302eef6992694572bab\BIT1A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8eaf2654f0289736ea670ab143d8291a\BIT23.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8fb8963a1a7f397e87eb252ab90b15d3\BIT18.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\965e4f7c0ef8c0e4d9974deded1eaa84\BIT38.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\99db8d448f48f8c2a2cd66bd7cc34212\download\BIT33.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9bc1114d47f292bcc3c1938495059499\BIT35.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f18599563f5b87eca028283f76e4a7b\BIT25.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c26d954a7cafd1d3c09bd8689fb1c4d5\BIT2D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ce7489659abd85647dade79848d499dd\BIT3E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d28b7dab7c2ba786f2145aa83b22ce03\BIT27.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\da29ff18a5a857405f87a8162b299b6e\BIT34.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e267c9067eedca75a10e756d75d3bc06\BIT39.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e6087612d495fc70a41b78bf2de7bdf6\BIT37.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e675776115f016c68dd9aeaa48980eb4\download\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e82080decccbc1559c7415c1fa6b8851\BIT17.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f21fa7129db27d37e064df5831b77a0c\BIT41.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f3946354fab14465d188f9cfc30b2b85\BIT16.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f5647573e24561a2fca5973a98fbe6a6\BIT42.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f8abd83a9a5c6d520a7778293fba3525\BIT3A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fe36d2eab8072fb91fff76b822bf2b4c\BIT12.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fe969cd89ca6f7eb669f705bf7e9a205\BIT32.tmp

Finished

als anhang der sophosreport

Dieser Beitrag wurde am 16.02.2007 um 22:03 Uhr von janina2403 editiert.
Seitenanfang Seitenende
17.02.2007, 01:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 janina2403

1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\~WRL0005.tmp
C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\~WRL2175.tmp
C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\Examensarbeit\~WRL1747.tmp
C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\Examensarbeit\~WRL2664.tmp
C:\Dokumente und Einstellungen\%Username%\Schule\~WRL0002.tmp

Folders to delete:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V00QJIUC
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

4.
scanneund poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 00:52
...neu hier

Themenstarter

Beiträge: 5
#8 Dr Web sagt keine Viren gefunden!!! :-))
Seitenanfang Seitenende
18.02.2007, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 wenn du mal ans Formatieren denkst - dann zoegere nicht....
schau, ob es neue Windowsupdates gibt.
aktiviere wieder die systmwiederherstellung
ansonsten muesste im moment wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 13:11
...neu hier

Themenstarter

Beiträge: 5
#10 Vielen Dank :-))))
Gruß Janina
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »