Trojan.Cachecache.kit in Datei rdriv.sys

ERGÄNZUNG !

ich weiß jetzt dass der Virus eigentlich Troj/Rootkit-W heißt, allerdings auch unter den Namen:
Rootkit.Win32.Agent.p
NTRootKit-J
Trojan.Cachecachekit
TROJ_ROOTKIT.E

durchs Netz kursiert.
Vielleicht hilft des weiter.

@hck sobald ich wieder an den Rechner komm werd ichs probieren

Noch ne ERGÄNZUNG !

der Trojan.cachecachekit taucht in Verbindung mit W32.Spybot.NLX auf, wobei der Trojaner nur dafür da ist den Spybot zu verstecken während der ne Backdoor einrichtet, also muss erst Spybot entfernt werden, dieser schreibt n paar Registryeinträge und tarnt sich laut Symantec als iTunesMusic.exe im Windowsordner.

Also wenn jemand das gleiche Prob hat dann mit erst den Spybot und danach den Trojan.Cachcachekit entfernen
und ich denk dass dann auch die Onlineinstruktionen von Symantec funktionieren.

MfG

Hallo Ripper.
Ich hab seit gestern dasselbe Problem wie du,rdriv.sys läßt sich nicht löschen,taucht in Regedit gar nicht auf,trotzdem meldet Norton Antivirus eine Infektion.
Für mich hab ich eine Lösung gefunden,vielleicht funzt das auch bei dir so.
Taskmgr aufmachen und Prozesse anschaun,da taucht immer ein Prozess mit dem Namen msudpscp.exe auf,aber nur ganz kurz,dann verschwindet er wieder,taucht wieder auf,verschwindet wieder,usw....
Keine Ahnung woher der ist,ich vermute so heißt der eigentliche Virus,der sich bei jedem Reboot immer wieder einen neuen Namen generiert.
Also rein in Regedit und dann"Bearbeiten-Suchen-msudpscp.exe" tippen,hat er bei mir nur 1x gefunden.
Gelöscht und rebootet,alles ok,keine Virusmeldungen mehr.
Gib mir Bescheid bitte,ob es bei dir auch geholfen hat,würde mich sehr freuen.
Bis bald.

mfg
Christian

Hi,

habe exakt das gleiche Problem. Hast Du schon Hilfe erhalten, bzw. hat die Löschung in der Regedit geholfen ? Danke für Deine Antwort.

Gruss
Peter

Hallo Peter.

Bei mir hat es geholfen, mach es auch genau nach meiner Vorgehensweise.

Taskmgr aufmachen und Prozesse beobachten,ganz links unten steht die Anzahl der gerade laufenden Tasks.Sie müssen konstant bleiben,wenn sie immer um eine rauf und runter geht mußt du solange schaun,bis du den Task gesehen und genau den Namen erkannt hast.
Dann Regedit öffnen und Arbeitsplatz markieren,Strg+F drücken und im Suchenfeld eintippen rdriv.Dann löschst du alle Schlüssel,Ordner oder Werte die so heißen,mit F3 sucht er nach einem Treffer weiter.
Dann wieder Arbeitsplatz markieren und das gleiche Spiel mit der Datei,die du im Taskmgr immer wieder auftauchen und verschwinden gesehen hast,bei mir war das msudpscp.exe,ich hab keine Ahnung ob die bei dir genau so heißen muß.
Nach einem Reboot war bei mir wieder alles ok,keine Meldungen mehr über Virus oder Trojaner.
Ich hoffe das hilft euch allen.

Lg an alle Poster und danke für eure Hilfen.

Christian

Hallo Peter.Wichtig!!!

Wenn du im Regedit nach den Namen suchst,dann setz unbedingt im Suchenfenster das Hakerl bei "Ganze Zeichenfolge vergleichen".
Wenn du das nicht machst löschst du sonst sicher Dateien die du brauchst,z.B. ist die Buchstabenkombination rdriv in verschiedenen Treiberdateinamen enthalten,also Vorsicht.
Nur Dateien die genau so heißen suchen und entfernen,dann hast du eine gute Chance ohne formatieren durchzukommen,mein System ist wieder total fehlerfrei.

mfg
christian

Hallo,

ich weiß nicht ob ich mich hier einfach einklinken darf...
Aber ich schlag mich auch schon seit zwei Tagen mit diesem hartnäckigen Biest herum...

Nur habe ich folgendes Problem:

(Windows XP, Norton AntiVir 2005, Update auf dem Neuesten Stand)

Norton findet den Wurm W32.Spybot.NLX nicht, nur den Trojaner.

Im Abgesicherten Modus kann ich die Datei rdriv.sys ohne Probs löschen, wenn ich dann nach den Registrierungseinträgen suche, die mir Symantec sagt, die der Wurm schreiben soll, so finde ich nur einen Teil davon, iTuesMusic zum Beispiel ist unter Services nicht zu finden, wie einige andere auch nicht.

Ich lösche dann nur die Einträge, die ich finden kann...
Nach meist 5 bis 10 Mins ist der Order wscsvc (LokalMaschine\System\CurrentControlSet\Services\wscsvc) wieder da m itsamt dem Trojaner, den mir Norton auch gleich wieder anzeigt...

Wie hier vorgeschlagen habe ich mir den Taskmanager angesehen, allerdings bleibt bei mir die Anzahl der Prozesse gleich...

(Noch eine Anmerkung: Der Wurm soll verhindern, daß das Service Pak 2 für WinXP installiert wird, ich habe den entsprechenden Eintrag im RegistrierungsEditor auch gefunden... Aber trotzdem gings mit der Installation ohne Probs, zumindest wird das SP als installiert angezeigt.)

 ???
Hat vielleicht jemand eine Idee was ich falschmachen könnte oder was ich noch versuchen kann?

Wäre wirklich super, wenn noch jemand nen Tip für mich hätte,
bin dankbar für jede Idee, da ich mit meinem eigenen (nicht gerade großen) Latein völlig am Ende bin und auch keiner der mehr Ahnung hat in meinem Bekanntenkreis noch nen Rat weiß...

MfG

also ihr werdet es kaum glauben, aber ich habe mich auch schon länger mit diesem hartnäckigen problem herumgeschlagen und erst gestern wieder stunden verbracht, irgendwelche hinweise zu finden.

der virus scheint sich in verschiedenen *.exe zu tarnen wie _sqlsvrd.exe oder wie bei mir wars die image.exe.

\windows\system32\rdriv.sys ist nicht das eigentliche problem, sondern eine exe, die rdriv.sys bei jedem systemstart neu erzeugt (und ich nehme an, auch wieder löscht - ich habe die datei nicht im abgesicherten modus gefunden).

draufgekommen bin ich, nachdem ich mit dem programm filemon von sysinternals.com verdächtige aktivitäten überprüft habe. da ist mir die versteckte und schreibgeschützte datei c:\windows\image.exe, welche um einiges neuer war als die systemdateien, aufgefallen. gestartet wurde das programm ganz am anfang automatisch als service "image". image.exe erzeugte übrigens zwei weitere serviceeinträge, nämlich rdriv und wscsvc. alle drei services scheinen nicht in der serviceliste auf. auch der taskmanager zeigt den prozess nicht an. außerdem bringt es nichts, rdriv und wscsvc aus der registry zu löschen, da die immer wieder neu erzeugt werden.

meine maßnahmen waren dann recht einfach. image.exe habe ich gelöscht, system neu gestartet, die services image, rdriv und wscsvc unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services in der registry gelöscht, rdriv.sys gelöscht. seit dem läuft wieder alles normal, wobei ich allerdings keine ahnung habe, inwieweit das system durch diesen virus schon beschädigt ist.

hoffe, daß meine erfahrungen jemandem weiterhelfen können.

Hallo,

ok, ich entschuldige mich, wenn das nicht hierhergehört, aber ich hätte da doch noch eine Frage...

@triendl.kj: Wäre es vielleicht möglich genauer zu beschreiben wie Sie auf die Datei gekommen sind? (nur nochmal für die ganz Blöden, also mich^^ )

Ich hab das entsprechende Programm, aber so wirklich schlau draus werde ich nicht.. 
Wie haben Sie denn die verdächtige Datei gefunden? Auf was sollte man achten?

Bitte ne kleine genauere Anweisung, wenn's net zu viel Mühe is...
(*vor dem Proggy sitzt und vor lauter Infos nix wirklich damit anfangen kann*, sorry so gut kenn ich mich damit leider nicht aus...)

MfG und vielen lieben Dank für die Mühe

naja, eine gewisse portion erfahrung und instinkt haben mir dabei geholfen. programme wie etwa \windows\system32\svchost.exe, ein windowsservice, gehörten nicht zu meiner zielgruppe (natürlich in der annahme, daß dieses nicht verwurmt ist).
image.exe kam mir verdächtig vor, weil mir dieser name (sowohl als prozess als auch als pfad in filemon) noch nie untergekommen ist.

was ich nicht gemacht habe: sie könnten verdächtige prozesse mit dem process explorer von sysinternals genauer betrachten, dort sollte rdriv.sys unter den vom prozess verwendeten dateien aufscheinen (wenn der process explorer überhaupt den verdächtigen prozess auflistet)

ich möchte allen die dieses Problem noch immer haben auch mal nen virenscan mit dem Programm Escan empfehlen. dieses tool kann kostenfrei genutzt werden, um viren zu bekämpfen muss man es allerdings kaufen. soweit muss man ja nicht gehen denn dieses programm ziegt einem alle verdächtigen dateien an ohen sie zu löschen und daher ist das einzige was nach dem scan noch zu tun ist, die dateien von hand zu löschen, der pfad wird immer mit angegeben.

außerdem muss es hier nochmals erwähnt werden, einen virenscan immer im abgesicherten modus durchführen (so kann der virus nicht seine volle funktion aufnehmen und sich evtl. selbst schützen) und vor dem scan sollte die systemwiederherstellung abgeschaltet werden (ich lösch auch immer noch die wiederherstellungspunkte denn sicher ist sicher), danach kann man sie ja wieder einschalten

MfG

Für einen Ahnungslosen wie mich.....
hab vergessen, wie man in den abgesicherten Modus kommt....
danke im Voraus für eure Hilfe

Hallo zusammen.

Vielen Dank für Euren Thread.
Hat alles super geklappt.
Löschen der rdriv-Dateien in der Reg und dem Auffinder der Mistdatei im Taskmanager. Bei mir hieß die Datei -dbg32hlp.exe-

Thx&bye

Paschi