Nabend,

gerade eben zeigte AntiVir mir einen Trojaner mit den Namen Rootkit.L an, wenn ich AntiVir den Befehl zum löschen gebe, ploppt das Fenster sofort wieder auf.

Ich habe echt keine Ahnung wie ich den wegbekomme.


Bitte bitte helft mir, ich bin am verzweifeln.


Ihr seid die besten! :aplaus:

Wo wurde das Rootkit gefunden(Pfadangabe)?
Poste zunächst auch einen Hijackthis-Log

Hallo,

hier der HijackThis-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 03:49:00, on 09.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\upnpdrv.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\image.exe
D:\Programme\AVPersonal\GUARDGUI.EXE
D:\DOKUME~1\Tim\LOKALE~1\Temp\Rar$EX00.985\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EAAC62D-5210-8CF0-E04B-A01210A23114} - D:\Programme\cdmweb\skomafqetv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [VIEW POINT DRIVERS] phqghum.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - D:\WINDOWS\System32\upnpdrv.exe

und die Pfadangabe:
D:\WINDOWS\SYSTEM32\RDRIV.SYS

Wenn ich versuche die Datei manuell zu löschen sagt er mir, das er die datei nicht löschen kann da sie von einem anderen programm verwendet wird.
Habe das ganze auch schon im AAbgesicherten Modus probiert, und alle Tasks im Taskmanager mit Benutzerrechten abgeschossen, er sagt trotzdem immer wieder das er den nicht löschen kann.
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.

Zitat:

Zitat von cronos

Kopier zunächst diese Pfadangabe:

D:\WINDOWS\SYSTEM32\RDRIV.SYS

in das Eingabefeld von:

http://virusscan.jotti.org/de/

klicke auf "abschicken" und teile uns das Ergebnis mit.

Hallo,

der Rootkit unterbindet das wohl da ich da keine Datei hochladen kann, Firewall und Router können von als Ursache dafür ausgeschlossen werden.

http://www.sophos.de/virusinfo/analy...2sdbotbpz.html

W32/Sdbot-BPZ legt außerdem eine Datei als rdriv.sys ab. Sophos Anti-Virus erkennt rdriv.sys als Troj/Rootkit-W.

Daher http://www.trojaner-board.de/showthread.php?t=12154

Begründung: http://de.wikipedia.org/wiki/Botnet

SORRY muß mich revidieren da müßte die winsmc.exe im windows Ordner vorhanden sein.

moin leute das ding is zwar teuflisch aber man bekommt es weg ....
ich hab mal alles nnachgeguggt und ich nehme an das der durch sasser oder lovesan auf den pc kommt (er öffnet die ports für die würmer).
also ...man gehe in ausführen-`msconfig`eingeben und dann auf boot.ini da klickt man dann safeboot an ...den pc neustarten und dann als admin die datei rdriv.sys löschen .... dann eine textdatei erstellen und irgendwas reinschreiben diese datei dann umbennenen in rdriv.sys und die datei als admin schreibgeschützt stellen... dann wieder zur boot.ini und das häckchen am safeboot weg und neustart so dann in windows is das dingen dann weg und kommt nich mehr wieder in die datei.... einzigstes problem is das dann immer wieder so kleine ableger irgendwie von nem trojan den man nicht entdecken kann sich zbs. in der systemfolder wiederfinden ...diese kann man allerdings auch ohne weiteres löschen. leider gibt es bei diesem fiesen ding keine möglichkeit es mit virenprogrammen zu fixen ..... wennn doch der möge mir schreiben....

mfg SireY

Wenn du diesen Backdoor auf dem rechner hast, hilft auch löschen im abgesicherten Modus nichts.
Hier geht es nicht darum, ob die Datei gelöscht wurde oder nicht.Das die datei auf den rechner gekommen ist, ist vielmehr entscheident.
Das System ist als kompromittiert zu betrachten und daher asap neu aufzusetzen.
Hier ein wenig Lektüre:

http://oschad.de/wiki/index.php/Kompromittierung
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.trojaner-board.de/showthread.php?t=12154
http://www.microsoft.com/technet/com...mt/sm0504.mspx
http://www.microsoft.com/technet/com...mt/sm0704.mspx

@cronos,

FULL ACK!!

@SireY,

die Datei, die Du "erfolgreich" gelöscht hast, ist nur ein Ableger!!
Der Backdoor ist immer noch aktiv!

Zitat:

einzigstes problem is das dann immer wieder so kleine ableger irgendwie von nem trojan den man nicht entdecken kann sich zbs. in der systemfolder wiederfinden.

dartus

also bei mir gibts es keine ableger davon mehr das backdoorprogramm meldet sich auch nicht mehr. die datei rdriv.sys konnte ichh auch wieder löschen ohne das sie erneut ersetzt wird also mit meinen admin rechten (die selbst erstellte datei).ich sagte ja auch nicht das es nur reicht die datei im abgesichterten modus zu löschen sondern man muss sie ja auch ersetzten und als schreibgeschützt setzten.
also ich bin das dingen glaub ich los....
zumindest gibt es keine anzeichen mehr dafür..mein HijackThis log ist auch clean... (HAPPY IS)

@ SireY

das mag ja deine Meinung sein, aber wer gibt dir die Sicherheit damit nicht noch andere Dateien auf deinem Rechner verändert wurden. Rootkits sind dafür bekannt sich gut zu verstecken, lese dazu mal hier http://de.wikipedia.org/wiki/Rootkit

besser du machst das was dir empfohlen wurde,zu deiner eigenen Sicherheit
-Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung
http://www.trojaner-board.de/showthread.php?t=12154

Für Rootkits gibt es auch noch einige spezielle Aufspürungsprogramme, die man ausprobieren kann. Z.b. RootkitRevealer oder Blacklight. Downloadlinks findest du hier: http://www.comsafe.de/download.html.

Aber ich muss der anderen Threadern beipflichten:
Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.
.

ich habe meinen laptop meinem administrator in der firma gegeben ... der soll machen was er für richtig hält. vlt habt ihr recht ....

so der admin meinte der pc sein clean. hab auch schon mit blacklight und RootkitRevealer durchsucht und wurde nichts gefunden. dann hab ich wohl doch glück gehabt=)