Liebe Forum-Gemeinde,

ich habe zu diesem Trojaner schon viele Beiträge gelesen, doch für meinen Fall habe ich abgesehen vom Tipp "System neu aufsetzen" nichts passendes gefunden. Vielleicht ist mein System ja nicht so dermaßen verseucht.
Mein Antivir erkennt in meinem Win2000 System die Datei C:\WINNT\SYSTEM32\rdriv.sys als Trojaner, kann sie aber nicht löschenn. Im abgesicherten Modus kann ich das per Hand zwar tun, doch beim nächsten Systemstart ist das Ding wieder da. Vielleicht könnte mir von Euch jemand bei meinem Problem helfen.

Besten Dank, nachstehend mein Logfile

RudiDutschke

Logfile of HijackThis v1.98.0
Scan saved at 13:31:35, on 15.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "c:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Hallo Rudi

lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren
C:\WINNT\SYSTEM32\rdriv.sys
C:\WINNT\SYSTEM32\Userinit.exe

BTW:ist das ein komplettes Logfile, hast du gar keine Dienste geladen? Es gibt eine neue Version bitte verwene die das nächstemal Direktdownload hier

Lieber Gigamail,

welche Dienste soll ich denn benutzen? Das war alles, was der Hijacker ausgworfen hat. Nachfolgend die neue Version.

Das Ergebnis von rdriv.sys:

Datei: rdriv.sys
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
TR/Rootkit.L gefunden
ArcaVir
Trojan.Rootkit.L gefunden
Avast
Win32:Trojan-gen. {Other} gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Rootkit.L gefunden
ClamAV
Trojan.Rootkit.C gefunden
Dr.Web
BackDoor.IRC.Sdbot.55 gefunden
F-Prot Antivirus
W32/Backdoor.BQE gefunden
Fortinet
W32/SDBot.BKW-net gefunden
Kaspersky Anti-Virus
Rootkit.Win32.Agent.p gefunden
NOD32
Win32/Rootkit.I gefunden
Norman Virus Control
W32/Rdriv.A gefunden
UNA
Trojan.Win32.Rootkit gefunden
VBA32
BackDoor.IRC.Sdbot.55 gefunden

Nun die userinit.exe:

Datei: Userinit.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Und nun das aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:32:10, on 15.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rudi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "c:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WIN32 (image) - Unknown owner - C:\WINNT\image.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Besten Dank für Deine Mühe - Rudi

So leids mir tut, aber du hast mindestens einen Backdoor auf deinem Rechner laufen. damit ist dein Rechner als kompromittiert zu betrachtem.
Da hilft leider wirklich nur Neuaufsetzen- bitte halte dich an diese Anleitung , um ähnliche Infektionen in Zukunft zu vermeiden.

Naja, ich hab´s geahnt. Wenn alles glatt geht wird´s das letzte Mal sein, dass ich meinen PC neu aufsetze. Im Herbst gibt´s dann nen Apple. Diese ganzen Viren und Trojaner machen mich wahnsinnig.

Äh, kriegt man den Backdoor nicht doch anders runter? *eg, nerv*

Man kann auch mit einem Windows-PC virenfrei leben.
Es fängt mit der richtigen Absicherung des Systems an (siehe Anleitung zum Neuaufsetzen) und endet beim kontrolliertem Surfverhalten.
Dazu auch erster Link in meiner Signatur.
Warum eine Bereinigung hier sinnlos ist oder warum man auch keinem Removal-Tool nutzen sollte:

http://www.mathematik.uni-marburg.de...c-removal.html

Hallo alle zusammen!

Mein Computer ist auch mit dem Virus rdriv.sys infiziert!
Ich hab schon jegliche Versuche unternommen um den Virus zu löschen, aber er bleibt immer noch bestehen!
Ich hab den Computer schon desöftern formatiert um damalige Viren zu beseitigen, und hab gleich zu Beginn das AnitVir installiert und gleich upgedatet!

Hier ein aktueller Virenbericht:

Start des Suchlaufs: Dienstag, 19. Juli 2005 17:47

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader
qmgr0.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
qmgr1.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Thomas
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp
setup4030.cab
ArchiveType: CAB (Microsoft)
--> liqp7c25q_.dll
HINWEIS! Der Archivheader ist defekt
--> atrc8parb_.exe
HINWEIS! Der Archivheader ist defekt
--> umqltg4cl_.exe
HINWEIS! Der Archivheader ist defekt
--> hqrhil7kg_.exe
HINWEIS! Der Archivheader ist defekt
--> umqltg4cl_.ini
HINWEIS! Der Archivheader ist defekt
--> hqrhil7kg_.ini
HINWEIS! Der Archivheader ist defekt
--> setup4030.ini
HINWEIS! Der Archivheader ist defekt
--> update.exe
HINWEIS! Der Archivheader ist defekt
C:\Programme\Kazaa\BGP2P\plugins
cevakrnl.cvd.cab
ArchiveType: CAB (Microsoft)
--> cevakrnl.cvd
HINWEIS! Der Archivheader ist defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
rdriv.sys
[FUND!] Ist das Trojanische Pferd TR/Rootkit.L
Konnte nicht gelöscht werden!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Dienstag, 19. Juli 2005 17:55
Benötigte Zeit: 07:58 min


2069 Verzeichnisse wurden durchsucht
30391 Dateien wurden geprüft
26 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

Wär cool wenn mir jemand helfen könnte!

mfg no12345

Für dich gilt natürlich das gleiche wie für die anderen beiden Patienten.

Gruß
Yopie

Also ich habe auch diesen komischen Virus: Trojansiches Pferd TR/Rootkit.L
Habe mich damit abgefunden das System neu aufzusetzen. Weiss nur nicht genau wie. Aber irgendwo ist ja ne Anleitung hier.
Was ist denn zum Beispiel mit Word Dokumenten und anderen Dateien auf dem PC. Muss ich die alle löschen oder kann ich die trotzdem auf eine externe Festplatte spielen ohne das ich da Virustechnisch was mit rüber spiele?

Verständnisfrage noch mal ebend? Was ist eine Datei fixen bzw wie macht man das?

Danke!!!!

Gruss Werner

Servus

Einen uralt-Thread aus der Klamottenkiste hervorholen wäre für Deine Fragen nicht notwendig gewesen!

Zum neu Aufsetzen schau Dir Cidres Anleitung an! Die findet man sinnigerweise im Unterforum Anleitungen, FAQ's und Links (nomen est omen!)

Zu Deiner Verständnisfrage zu HJT: Siehe auch hier Anleitung zu HJT:

Zitat:

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

stupormundi

Servus, ja Uraltz ich weiss
ABer danke für die ANtwort.

Aber das mit den anderen Daten, wie z.B. Word Dokumente Excel Tabellen etc. Was ist damit? Können die auch irgendwie von dem Virus etc betroffen sein? Wenn

@ no12345

Auch für dich gilt, was bisher für die anderen hier im Thread galt.
Setze dein System neu auf, wie das geht und vor allem warum, ist oben im Thread beschrieben.

Edit:

@ yopie: Grüß dich

@ no12345

leider Neuaufsetzen

Edit: war etwas spät dran :-)
Sevus Yopie
Servus Cronos

Hi!
I got rid of rdriv.sys on my friends Computer by doing the following steps:

1. Regedit:
deleted all entries where rdriv.sys where located. (Backuped registry first!!!)

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

deleted:
extel.exe
wonderx.exe
strongbabe.exe

also did it in
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3.
o)
start -> run -> services.msc
located: Externtelecom

o) deaktivated service

4. Rebooted and deleted following files:
c:\winnt\extel.exe
c:\winnt\wonderx.exe
c:\winnt\system32\strongbabe.exe
c:\winnt\system32\rdriv.sys


done...

Although the annoying rdriv.sys is removed, I suggest to reinstall your Windows.

kind regards
Gia Phu Liu

@ phu

There is no other way than to flatten and rebuild a compromised system because you cannot trust it anymore.

http://www.microsoft.com/technet/com...mt/sm0504.mspx
http://www.microsoft.com/technet/com...mt/sm0704.mspx