es wäre wunderbar, wenn mir irgendjemand bei folgendem problem helfen könnte : bekomme über antivir dauernd die meldung das sich ein TR/Rootkit.L auf meinem computer befindet. dieser ist gelockt und könne erst nach einem neustart gelöscht werden. ich befolge dies und lasse erneut scannen, doch die meldung kommt immer wieder bei folgender datei : rdriv.sys

habe leider keinerlei ahnung

bitte um hilfe

vielen dank

bitte bitte

Drängeln wird nicht gerne gesehen
Mache folgendes:
http://www.trojaner-board.de/showthread.php?t=17493
und
http://www.trojaner-board.de/showthread.php?t=17492

genau nach Anleitung. Die Log-Files kannst Du dann hier posten. Aber genau nach Anleitung.

vielen herzlichen dank

Logfile of HijackThis v1.99.1
Scan saved at 02:11:31, on 02.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\setup32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\msxct.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchmiracle.com/sp.php
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\eliteezw32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - Global Startup: Digital Image Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://h**p://security.symantec.com/...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1107901265687
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h**p://security.symantec.com/.../bin/cabsa.cab
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bitte editiere zunächst die aktiven Links (mach aus http-->h**p)

So nun zu deinem Problem:

Dein System ist total durchseucht, Grund ist u.a. ein nicht gepatchtes System. Service Pack 2 ist mitlerweile aktuell.

Zitat:

Zitat von SACHSENRONNY

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du hast u.a. folgende aktiven Backdoors am PC:

http://it.trendmicro-europe.com/cons...WORM_AGOBOT.XM
http://www.sophos.de/virusinfo/analy...2forboted.html

Hier kann dir nur geraten werden, dein System neu aufzusetzen und zwar nach folgender Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

um ähnliches in Zukunft zu vermeiden.

Warum eine Bereinigung hier nicht hilft:

http://www.mathematik.uni-marburg.de...al.html#sec2.1

vielen dank für die schnelle antwort!!

hatte das gleiche Problem auf einem Laptop eines Kollegen (surfte auf dem Internet ohne Firewall...).

Gelöst werden konnte das Problemmit F-Secure Blacklight. Beim Scannen mit diesem Tool wird die Datei c:\pwsncv angegeben. Diese über Blacklight umbenennen und neustarten lassen.

Die Datei rdriv.sys kann nun gelöscht werden. Papierkorb leeren und Antivir erneut laufen lassen.

Es sollten nun keine Meldungen mehr erscheinen (Systemwiederherstellung habe ich vor diesen Operationen auf deaktiviert gestellt).

@bipo

Und du hast gar nichts verstanden... !

Zitat:

Zitat von bipo

hatte das gleiche Problem auf einem Laptop eines Kollegen (surfte auf dem Internet ohne Firewall...).

Auch ohne Firewall kann man sich leicht vor solchen Infektionen schützen!

Zitat:

Gelöst werden konnte das Problemmit F-Secure Blacklight. Beim Scannen mit diesem Tool wird die Datei c:\pwsncv angegeben. Diese über Blacklight umbenennen und neustarten lassen.

Die Datei rdriv.sys kann nun gelöscht werden. Papierkorb leeren und Antivir erneut laufen lassen.

Es sollten nun keine Meldungen mehr erscheinen (Systemwiederherstellung habe ich vor diesen Operationen auf deaktiviert gestellt).

Vielleicht erscheinen keine Meldungen mehr, aber das heißt nicht, dass dein System nun sicher genug ist, um wieder "auf dem Internet" zu surfen. Wenn du das gleiche Problem hattest, dann formatier deinen Rechner und setz das BS neu auf. Ansonsten halte dich vom Internet fern!

Gruß
Yopie