Wo wurde das Rootkit gefunden(Pfadangabe)?
Poste zunächst auch einen Hijackthis-Log

Hallo,

hier der HijackThis-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 03:49:00, on 09.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\upnpdrv.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\image.exe
D:\Programme\AVPersonal\GUARDGUI.EXE
D:\DOKUME~1\Tim\LOKALE~1\Temp\Rar$EX00.985\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EAAC62D-5210-8CF0-E04B-A01210A23114} - D:\Programme\cdmweb\skomafqetv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - D:\WINDOWS\System32\upnpdrv.exe

und die Pfadangabe:
D:\WINDOWS\SYSTEM32\RDRIV.SYS

Wenn ich versuche die Datei manuell zu löschen sagt er mir, das er die datei nicht löschen kann da sie von einem anderen programm verwendet wird.
Habe das ganze auch schon im AAbgesicherten Modus probiert, und alle Tasks im Taskmanager mit Benutzerrechten abgeschossen, er sagt trotzdem immer wieder das er den nicht löschen kann.
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.

Zitat:

Zitat von cronos

Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.

Hallo,

der Rootkit unterbindet das wohl da ich da keine Datei hochladen kann, Firewall und Router können von als Ursache dafür ausgeschlossen werden.

http://www.sophos.de/virusinfo/analy...2sdbotbpz.html

W32/Sdbot-BPZ legt außerdem eine Datei als rdriv.sys ab. Sophos Anti-Virus erkennt rdriv.sys als Troj/Rootkit-W.

Daher http://www.trojaner-board.de/showthread.php?t=12154

Begründung: http://de.wikipedia.org/wiki/Botnet

SORRY muß mich revidieren da müßte die winsmc.exe im windows Ordner vorhanden sein.

so der admin meinte der pc sein clean. hab auch schon mit blacklight und RootkitRevealer durchsucht und wurde nichts gefunden. dann hab ich wohl doch glück gehabt=)

Hab das gleiche prob gehabt.. also das sich die datei immer wieder neu geschrieben hat. Prob. ist, kann das system hier nicht so einfach neu hochziehen.. firmen server...

Bei mir war es so, dass ich noch ein zweites Programm auf dem Rechner hatte, welches sich MSMedia.exe genannt hatte und mir andauernd diese Datei erstellt hatte. Drauf gekommen bin ich, als ich meinen Trafic beim Löschen überwacht habe und festgestellt hab, dass diese exe die schon bekannte sys imemer wieder neu runter geladen hat. Scheint zumindestens so. Selber wurde die exe nicht als virus erkannt. Zu meiner Schande (weiß zwar nicht woher die kommt) hatte ich auch noch bei mir der exe den zugang zum inet gewährt, wegen dem Namen, dachte das gehört mit zum Windows Update vom MedienPlayer. Vielleicht hilft das ja einigen.

ps. wegen rechtschreibung... hab jetzt fast 23 std. hinter mier und geh jetzt pennen...

greez

ich habe meinen laptop meinem administrator in der firma gegeben ... der soll machen was er für richtig hält. vlt habt ihr recht ....