Für einen Ahnungslosen wie mich.....
hab vergessen, wie man in den abgesicherten Modus kommt....
danke im Voraus für eure Hilfe

Macht es so, wie von Fumanschu Beschrieben!!!
Hat gleich beim ersten Versuch funktioniert
Danke! War schon so verzweifelt :'(
Und der Prozess hieß bei mir übrigens auch
"dbg32hlp.exe" und war so um die 15500kb
Endlich ist der sch*** weg

hallo leute,
die tipps mit dem cleanen der registry (suchen nach dem exakten string rdriv) und mit dem entfernen einer exe datei aus dem windows-verzeichnis (bei mir hieß sie msmedia.exe) waren goldes wert !!!
tausend dank !!!

ein tipp noch: nachdem ich keinen verdächtigen prozess (lt. anleitung oben) in meiner prozess-liste finden konnte, bin ich nach dem änderungsdatum der dateien im windows-ordner gegangen und siehe da: es gab nur eine .exe mit neuerem datum (datum des tages an dem die probleme begonnen hatten ...) -> msmedia.exe ...

Bei mir tauchte die Datei unter edit.exe auf. Sonst hat die selbe Vorgehensweise geholfen.

Danke !

Hallo Ripper.
Ich hab seit gestern dasselbe Problem wie du,rdriv.sys läßt sich nicht löschen,taucht in Regedit gar nicht auf,trotzdem meldet Norton Antivirus eine Infektion.
Für mich hab ich eine Lösung gefunden,vielleicht funzt das auch bei dir so.
Taskmgr aufmachen und Prozesse anschaun,da taucht immer ein Prozess mit dem Namen msudpscp.exe auf,aber nur ganz kurz,dann verschwindet er wieder,taucht wieder auf,verschwindet wieder,usw....
Keine Ahnung woher der ist,ich vermute so heißt der eigentliche Virus,der sich bei jedem Reboot immer wieder einen neuen Namen generiert.
Also rein in Regedit und dann"Bearbeiten-Suchen-msudpscp.exe" tippen,hat er bei mir nur 1x gefunden.
Gelöscht und rebootet,alles ok,keine Virusmeldungen mehr.
Gib mir Bescheid bitte,ob es bei dir auch geholfen hat,würde mich sehr freuen.
Bis bald.

mfg
Christian

Ebenfalls danke...auch bei mir wars MSMedia.exe...war schon kurz davor zu formatieren 

hatte das gleiche problem. beim suchen hilft das kleine programm "hijackthis". es durchsucht die autostarteinträge und kann diese löschen. mir fiel da das besagt MSmedia.exe auf, da der hersteller MicroSoft und nicht Microsoft hieß und der besitzer als unbekannt angegeben war. vielen dank an euch!!!  nachdem ich MSmedia.exe aus dem autostart gelöscht hatte und rebootet hab, könnte ich auch ohne probs das rdriv.sys in WINDOWS\system32 löschen. war auch schon kurz vorm formatieren.

Hallo Leute, also dieser Virus hat mich gestern 4 Stunden meines kostbaren Lebens gekostet...Ich weiß heute noch nicht wie ich mir das Teil einfangen konnte. Router --> Firewall --> Virenscan

Also ich will jetzt mal behaupten das ich weiß wie man dan Ding ein für alle mal los bekommt.

Das Problem ist das der Trojaner rdriv.sys von einer .exe erstellt wird und somit immer wieder kommt, d.h. das löschen der .sys Datei ist keine Lösung. Wir benötigen unbedingt die .exe Datei...
Da hilft es i.d.R. auch nicht in den abgesicherten Modus zu gehen. Wie man die findet sieht ihr unten:

(Die ersten beiden Punkte haben bei mir nichts gebracht)

1. Registry nach rdriv durchsuchen --> wird er aber wahrscheinlich nichts finden

2. TaskManager beaobachten ob ein Prozess auftaucht und wieder verschwindet --> wird wahrscheinlich auch nicht klappen

3. HiJackThis Downloaden --> Log File erstellen

4. Den Windows Ordner durchsuchen. Und zwar suchen wir nach folgenden Kriterien: VERSTECKT, SCHREIBGESCHÜTZT, UNBEKANNTER BENUTZER, ÄNDERUNGSDATUM bzw. ERSTELLUNGSDATUM ist das an dem ihr euch das Teil eingefangen habt. Suchfunktion ausführen. Jetzt sieht man schon mal alle .exe mit den besagten Kriterien (so viele dürften das nicht sein)

5. Jetzt schauen wir uns das .log File von HijackThis an! STRG+F drücken(Suchen) und den Begriff 'unknown' eingeben. Bei jeder .exe wo unknown steht wird kontrolliert ob wir die .exe kennen oder nicht

Bei mir hat sich der Virus in der .exe WIN32OCX.exe eingenistet. Dieser Eintrag stand dann folglich auch in HijackThis drin...aber nicht als Autostart (somit ist er auch nicht so schnell in der Registry zu finden) sondern als Dienst.

Dieser Dienst wurde mit "Windows Anti Virus" getarnt, welcher bei jedem Start eben ausgefüht wird und somit den Trojaner erstellt.

Somit schalten wir den Dienst aus gehen in die Registry und löschen alle Schlüssel was mit rdriv.sys und der .exe zu tun haben. Letzenendes natürlich auch die .exe und .sys Datei und man hat das Ding los.

Letztenendes sollte man noch den Spybot und aSquared darüber laufen lassen denn der Dienst/Troyaner/Virus hat nämlich bei der Standard-Windows-Firewall wichtige Schlüssel geändert. z.B. Alle Hinweis-Funktionen der Firewall wurden gekappt, sowie die Firewall selbst etc. Der Benutzer kommt aber von alledem nichts mit und denkst alles ist super schön und passt!

MfG

http://www.kaspersky.com/de/remoteviruschk.html   << damit vielleicht ??

Hi Leutz,

warum surft ihr nicht einfach alle mit Gast-Rechten? Dann passiert Euch so etwas auch nicht mehr so schnell.

Schädlicher Code nimmt sich den Rechten des aktuell angemeldeten Benutzers an.

Wenn Ihr also als Gast angemeldet seid, dann gibt es keine Schreibrechte im "*:\Windows\*" Ordner und in der Registry! Damit seid Ihr erstmal auf der sichereren Seite, als mit Admin-Rechten im Netz unterwegs zu sein.

Natürlich gibt es über die Registry diverse Hacks & etc., aber dies ist komplizierter zu realisieren.

Wenn Ihr unbedingt Installationsrechte auf Eurer Kiste benötigt, dann holt Euch ein RunAs Prog., damit wird temporär das zu installierende Prog. mit Admin-Rechten ausgerüstet.(Zugriff: Registry, Programme etc.)

Gruß

Björn

Hallo an Alle,

Danke erstmal für den Thread.
Auch bei mir wars MSmedia.exe zusammen mit DCNhelp.exe
Ich wollt noch folgendes ergänzen:
Ich habe die .exe Dateien mit Hilfe Eurer Tips recht schnell gefunden, nur konnte ich sie nicht löschen. Das ist dann erst im abgesicherten Modus gelungen. Also (für alle die genauswenig Ahnung haben wie ich):
in den abgesicherten Modus wechseln!!

Hallo, danke an alle für die informationen

erst msmedia.exe löchen dann rdriv.sys

ich habe auch zuerst regedit gestartet im suchfeld msmedia.exe eingegeben und suchen lassen. Nachdem ich das gefunden habe, habe ich
gleichzeitig task-manager gestartet und msmedia.exe beendet, so konnte ich im suchfeld rededit gefundene msmedia.exe datei löchen.
Dann Rechner neu gestartet. Auf die Datei rdriv.sys im Ordner "C:\windows\system32\rdriv.sys " mit der rechten maustaste drauf klicken und mit norton antivirus prüfen, (wenn sie norton antivirus programm haben, vielleicht geht das auch mit einem anderem virus programm)
und die datei rdriv.sys war gelöcht.

Hatte das gleiche Sch..ding,nun isser weg.Zonalarm ausschalten,Antivir ausschalten.Hieß bei mir:MircoSoft Media Tools.Sysst.öffnen,Verwaltung, Dienste,dann deaktivieren.In C:Windows,Prefetch öffen,dort heißt er MSMedia.exe,löschen.Danach in
Windows/system 32 den Ordner RDRIV löschen.Dann Start,Ausführen,msconfig
eingeben,vorlezten Reiter öffnen,und Datei Firewalling Unbekannt,davor das Häkchen rausnehmen.PC nicht neustarten,sondern Antivir starten.Danach Zonealarm
Programme kontrollieren,steht auch da drin.Unter Komponenten auch.Alle einzelne durchsehen.Dann XP-clean laufen lassen,Windowsspuren,Registry
komplett,alle drei Reiter.Verstckte sich auch da drin.Nun endlich Frieden.Ich hoffe Ihr auch.Viel Glück!(Kein Scherz!)

das mit der Regedit hat geklapt war aber nicht leicht die wandernde dat zu finden   aber es geht ... ... sch... auf norton es lebe das forum

bester dank
lord burns

Tach Leute,

sollte gestern für nen bekannten den Rechner auf vordermann bringen weil er diverse "Problemchen" hatte, nun habe ich ca. 10 Problemchen (Viren) beseitigt aber häng an diesem sch.... Trojan.CachecacheKit, der stellt sich bei jedem Neustart wieder her und ich kann die Ursprungsdatei nicht finden.
Auch die Onlineinstuktionen von Symantec nutzen nichts.

Systemwiederherstellung ist abgeschaltet, Norton AntiVirus auf dem neuesten Stand, Spybot findet auch nix zu dem Virus und AntiVir kann ihn nicht löschen -- der OnlineCheck von Symantec geht nicht weil der Link nicht funzt.
Mehrfache Virenscans im abges. Modus hab ich schon durchgeführt, des teil ist aber trotzdem bei jedem Start in den Normal-Modus wieder da.

Hat einer ne Ahnung wie ich die Datei rdriv.sys dauerhaft entfernen kann und sie sich nicht wiederherstellt.

Wär für alle Tipps dankbar.

MfG