Wie oder womit entferne ich das Trojanische Pferd TR/Rootkit.L.
Kann mit diesen Ellenlangen fachgerede auf den Seiten nichts anfangen
SimzZ (58) |
SimzZ (58) |
Wie oder womit entferne ich das Trojanische Pferd TR/Rootkit.L.
Kann mit diesen Ellenlangen fachgerede auf den Seiten nichts anfangen
Hi
Und stelle hier mal ein HJT Logfile.
Den Download und was das überhaupt ist das findest du in diesen link:
http://nikita.eddys-domain.de/hijackthis.html
mfg
misskissyou
Hallo. Hab das selbe Problem mit diesem Trojaner. Er lässt sich auch nicht im abgesicherten Modus löschen, er erscheint immer wieder. Deshalb hab ich mal diese HiJack Datei erstellt:
Logfile of HijackThis v1.99.0
Scan saved at 21:40:27, on 24.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Danny\Desktop\Downloads\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BFC464D-3641-458B-B36A-9F776F2E6CDC}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ampi32 - Unknown - C:\WINDOWS\msvcrt.exe
Hi DannyK
Du kannst deine HJT Logfile unter:
http://www.hijackthis.de/
selber auswerten.
mfg
misskissyou
Hi Leute.
Hab den selben Virus gehabt und es tut mir Leid das sagen zu müssen:
Es gibt keine andere Möglichkeit als Format C.
dieser Trojaner generiert Hintertürchen auf eurem Computer bis er schwrz wird.
Also wenn euch eure Kontonummern und pws lieb sind formatiert lieber.
Selbst wenn ihr den Trojaner entfernt, können (bzw. ist es höchst wahrscheinlich)
dass der Hacker Hintertürchen (backdoors) auf Eurem Rechner erstellt hat. Diese kann er nach allen Regeln der Kunst verstecken, so dass sie nicht gefunden werden können. ALso FORMAT C!!!!!
Ich habs gemacht und es ist zwar sch...e das alles weg ist, aber das ist die EINZIGE Möglichkeit
Euer Mathi
hi,
nach dem neuaufsetzten des system is der
tr.rootkit.l
immernich da...
hab dann alle partitionen platt gemacht
c: erst als fat formatiert
danach nochmal ntfs
trotzdem ******* virus immernoch da
HILFE
PS: beim ganzen formatieren hab ich ausversehen ein partition gelöscht auf meiner externen festplatte, aber nicht formatiert wie kann ich die wieder herstellen???
Der Trojaner TR/Rootkit.l ist auch mir bekannt. Er ist lästig, aber besiegbar. Und zwar gibt es einen einfachen Weg, in los zu werden:
Erstmal ist das Programm EWIDO sehr nützlich, da es effektiver sucht als AntiVir. Damit lässt sich der Trojaner lokalisieren und eventuell sogar entfernen. Ist auf jeden Fall einen Versuch wert.
Einen sicheren Weg beschreibe ich jetzt hier:
AntiVir findet den Trojaner in der Datei "rdriv.sys" im Ordner Windows\system32. Jetzt wist ihr, wo er ist. Die datei kann allerdings so ohne weiteres nicht glöscht werden. Hier der Lösungsweg:
1. Startet Windows im Abgesicherten Modus
2. Sucht nach der Datei "rdriv.sys"
3. Im Abgesicherten Modus kann die Datei gelöscht werden, allerdings wird nach einem Neustart eine neue datei erzeugt, der trojaner wäre wieder da.
4. Um dies zu verhindern, erstellt ihr einfach eine Neue Datei, z.B. ein Textdokument ohne Inhalt, benennt es um in "rdriv.sys" und setzt es in den Eigenschaften aus "schreibgeschützt". Diese Datei verschiebt ihr nun in den Ordner Windows\System32, da vo der Trojaner war. (alles im abgesicherten Modus)
5. Startet Windows ganz normal neu, und lasst eure Virenscanner (oder EWIDO) nach infizierten Dateien suchen. Sie dürften nichts finden.
Anmerkung: Wird der Status "schreibgeschützt" nicht gesetzt, ist der Trojaner möglicherweise wieder da, da er die datei überschreiben kann.
Jetzt solltet ihr das Ding los sein.
Der einzig richtige Weg ist, die Datei "MsMedia.exe" zu löschen. Das ist die wirkliche Virendatei. Die Datei rdriv.sys wird nur andauernd neu erstellt. Und zwar durch die Datei MSMEDIA.exe. Hab die Ratte von Trojaner schon 2mal entfernt, und nur so bekam ich ihn los. In der Registry sind auch zwei oder drei Schlüssel. Sucht einfach nach MSMEDIA.exe und löscht den Mist. Danach kann man im die Datei rdriv.sys löschen und Ruhe is vor dem Drecksding.
Viel Spaß mit euerem (wieder) Trojaner-freiem PC.
Greetz Joe
Thankx to gxt200 !!!
Bin im Netz auf ein Programm "ErrorSafe" gestoßen; heruntergeladen zum späteren installieren.
Offline fand AntiVir PE Classic heraus:it´s TR/RKit.Agen.AF.2A.
- Konnte aber offensichtlich nicht alle SetUp Dateien dazu löschen, denn jedesmal beim Start von Windows erschien ein SetUp Fenster für ErrorSafe.
Die Antwort war EWIDO. Es hat endlich offenbar alles erwischt.Seit Tagen erstmals wieder normaler Windowsstart.
hi,
nun wenn der virus immer noch da , trotz löschens aller partitionen der festplatte, und des master boot records , dann MUSS sich der virus im bios befinden, oder er gammelt im RAM rum, was ich allerdings nicht so recht glauben mag. eine chance wäre es mit ner linux cd zu booten und das bios neu zu schreiben (wenn wirklich alle stricke reißen). ich denk es dürfte für den kleinen recht schwer sein auch noch die linux signaturen inne zu haben. das wäre mein vorschlag.
greetz,
zapf2000
so sollte es gehen
antivir findet den trojaner--mit vorher eine textdatei mit dem namen erstellen rdriv.sys
mit antivir ( in dem moment wo antivir sich meldet) umbenennen ( das macht antivir) und dann die erstellte textdatei im systemordner einfügen.
fertig
hab es gerade so gemacht und bisher ist ruhe
« Wie schalte ich automatische URL Werbung ab | Win95: Gute Firewall und guten Virenscanner??? » | ||