yep...that's why I suggest the re-installation
greetings Phu

ich lese das hier gerade kann mir einer was zu meinen log sagen thx im vorraus



Logfile of HijackThis v1.99.1
Scan saved at 08:34:22, on 15.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
Tutten (08:36 AM) :
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\mIRC\mirc.exe


C:\Programme\Internet Explorer\iexplore.exe
E:\Systeme\hijackthis\HijackThis.exe

0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D22CB736-C8C6-4340-9216-96F21193CC88}: NameServer = 217.237.149.225 217.237.151.97
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\debughlp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo, liebe Trojaner-Gemeinde,

auch ich bin total verzweifelt wegen dieses rdriv.sys-Trojaners. Kann mir bitte, bitte einer helfen? Hier sind meine Log-Daten:

Logfile of HijackThis v1.99.1
Scan saved at 16:07:59, on 10.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\progs\security\Atguard\iamapp.exe
C:\WINDOWS\System32\SerExt.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Progs\system\SecCopy\SecCopy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gigaset DECT\capi\Tools\CALLTRAY.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\progs\security\Atguard\iamserv.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\msdvd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Progs\BRO~1\IZArc\IZArc.exe
C:\DOKUME~1\Anwender\LOKALE~1\Temp\ARC34\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ww-technik.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\progs\büro\Adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [iamapp] c:\progs\security\Atguard\iamapp.exe
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Second Copy 2000] "C:\Progs\system\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [disclogservice] C:\WINDOWS\System32\sysservice.exe
O4 - HKCU\..\Run: [hostdirx] C:\WINDOWS\System32\winrun.exe %srun%
O4 - Global Startup: CAPI - Monitor.lnk = C:\Programme\Gigaset DECT\capi\Tools\CALLTRAY.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Progs\BRO~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105649641661
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{005F7ADC-40B1-431F-8D24-34569410255F}: NameServer = 217.237.150.97 217.237.151.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{005F7ADC-40B1-431F-8D24-34569410255F}: NameServer = 217.237.150.97 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - c:\progs\security\Atguard\iamserv.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: microsoftdvdhelp (MicrosoftDVD) - Unknown owner - C:\WINDOWS\msdvd.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

DANKE!

Grüße, Sibylle

Also ich habe auch diesen komischen Virus: Trojansiches Pferd TR/Rootkit.L
Habe mich damit abgefunden das System neu aufzusetzen. Weiss nur nicht genau wie. Aber irgendwo ist ja ne Anleitung hier.
Was ist denn zum Beispiel mit Word Dokumenten und anderen Dateien auf dem PC. Muss ich die alle löschen oder kann ich die trotzdem auf eine externe Festplatte spielen ohne das ich da Virustechnisch was mit rüber spiele?

Verständnisfrage noch mal ebend? Was ist eine Datei fixen bzw wie macht man das?

Danke!!!!

Gruss Werner

Servus

Einen uralt-Thread aus der Klamottenkiste hervorholen wäre für Deine Fragen nicht notwendig gewesen!

Zum neu Aufsetzen schau Dir Cidres Anleitung an! Die findet man sinnigerweise im Unterforum Anleitungen, FAQ's und Links (nomen est omen!)

Zu Deiner Verständnisfrage zu HJT: Siehe auch hier Anleitung zu HJT:

Zitat:

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

stupormundi

Servus, ja Uraltz ich weiss
ABer danke für die ANtwort.

Aber das mit den anderen Daten, wie z.B. Word Dokumente Excel Tabellen etc. Was ist damit? Können die auch irgendwie von dem Virus etc betroffen sein? Wenn

Hallo,

Bilder, MP3s usw. kann man Problemlos übernehmen, Officedokumente sind theoretisch zu manipulieren, aber da dies sehr unwahrscheinlich ist kannst du sie nach einem Virenscan auch auf das neue system übernehmen. Welche Dateien du keinesfalls mitnehmen solltest sind ausführbaren Dateien (exe, pif, com, scr, usw.)


Grüße wildone