ein pferd namens TR/Rootkit.L

Hallo,

versuch dein Glück im abgesicherten Modus

hey...

danke für die antwort...nun...es war eh nicht mein rechner und nu bin ich auch
wieder zu hause. der eigentümer meinte er macht den rechner platt...mir solls egal sein. is ja seiner

trotzdem danke...

Gruß jan

Hi...

mir ploppt hier alle 10 sekunden ein fenster von Antivir SE auf mit der netten meldung das wohl ein Trojaner in der Datei RDRIV.SYS steckt. Und zwar wie im betreff erwähnt TR/Rootkit.L

Löschen geht nicht und AdAware brachte auch irgendwie nix. gebt mit mal nen guten Tip wie ich den zossen wieder vor die tür setze....

Gruß Jan

Der Trojaner TR/Rootkit.l ist auch mir bekannt. Er ist lästig, aber besiegbar. Und zwar gibt es einen einfachen Weg, in los zu werden:

Erstmal ist das Programm EWIDO sehr nützlich, da es effektiver sucht als AntiVir. Damit lässt sich der Trojaner lokalisieren und eventuell sogar entfernen. Ist auf jeden Fall einen Versuch wert.

Einen sicheren Weg beschreibe ich jetzt hier:

AntiVir findet den Trojaner in der Datei "rdriv.sys" im Ordner Windows\system32. Jetzt wisst ihr, wo er ist. Die datei kann allerdings so ohne weiteres nicht glöscht werden. Hier der Lösungsweg:

1. Startet Windows im Abgesicherten Modus

2. Sucht nach der Datei "rdriv.sys"

3. Im Abgesicherten Modus kann die Datei gelöscht werden, allerdings wird nach einem Neustart eine neue Datei an der Stelle erzeugt, der Trojaner wäre wieder da.

4. Um dies zu verhindern, erstellt ihr einfach eine Neue Datei, z.B. ein Textdokument ohne Inhalt, benennt es um in "rdriv.sys" und setzt es in den Eigenschaften auf "schreibgeschützt". Diese Datei verschiebt ihr nun in den Ordner Windows\System32, da wo der Trojaner war. (alles im abgesicherten Modus)

5. Startet Windows ganz normal neu, und lasst eure Virenscanner (oder EWIDO) nach infizierten Dateien suchen. Sie dürften nichts finden.

Anmerkung: Wird der Status "schreibgeschützt" nicht gesetzt, ist der Trojaner möglicherweise wieder da, da er die erstellte Datei überschreiben kann.

Jetzt solltet ihr das Ding los sein.

boah genial 

danke, ich such schon seit ner ewigkeit im netz nach ner lösung und hab alle möglichen superkomplizierten methoden gefunden die nichtmal erfolg versprechen

ich werds gleich mal ausprobiern 

Großen Dank an gtx200,
ich hatte das gleiche Problem und konnte es mit deinem Rezept lösen.
Habe nur im abgesicherten Modus die Datei mit Wordpad geöffnet und
den Inhalt rausgelöscht.Dann schreibgeschützt und alles ist wieder schön.
Gut dass es jemanden gibt, der sich damit auskennt!

Die Methode funktioniert sehr gut, aber: wenn ich dann später die selbst erzeugte "rdriv.sys" wieder lösche, steht nach einem Neustart wieder die Trojaner-rdriv.sys im system32. Also ist der Virus doch noch irgendwo im System gespeichert, aber wo?

Jetzt wirds richtig knifflig ...

mfg aus Augsburg

Der Virus läst sich nicht beseitigen, da man immer nur Schattendateien des Virus jagt, das einzige was hilft, ist die Festplatte inklusive Masterbootrecord zu formatieren und wenn man genug Backups hat keine Daten vom infizierten System zu übernehmen.
DerVirus ist ein fieses Ding, alle Passwörter und Daten sollten als bekannt angenommen werden und somit sicherheitshalber geändert werden.

Hallo,
eine Desinfektion des PC vom der Malware TR/Rootkit.L (Bezeichnung bei AntiVir) sollte mit der folgenden einfach zu bedienende Software möglich sein:
AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles kostenloses Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
2a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
2b. Pattern, ca. 8 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
Bei Trend Micro wird die Malware unter den Namen TROJ_ROOTKIT.E geführt.

Anschließend die folgenden Schritte ausführen:
Dazu beachte die nachfolgende Anleitung, diese gilt ohne Ausnahme für alle Antivirusprogramme bei einer vermuteten oder vorhandene Malware Infektion:
Für die nachstehenden Schritte sind Administrator-Berechtigungen zwingend notwendig!

1. Den bereits vorhanden installierten Virenscanner aktualisieren
2. PC vom Netzwerk und Internet trennen
3. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
4. PC im abgesicherten Modus starten
(Für den Punkt 3 und 4 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
5. Das komplette System mit dem Viren-Schutzprogramm scannen, mit der Einstellung  “Alle Dateien“, “Archive“ und “Gepackte Dateien“!
6. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
·   infizierte Dateien löschen
·   Einträge aus der Windows-Registrierung entfernen
7. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Alternativ kann auch die Anweisung zur manuellen Bereinigung von Trend genützt werden:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_ROOTKIT.E

Achtung!
Es gibt zahlreiche Varianten von Malware die ebenfalls die Datei rdriv.sys für ihre schädlichen Absichten nützen.
Die Malware bedient sich gerne der bekannten Sicherheitslücken von Windows, es ist dringend zu empfehlen, sein System zu überprüfen, ob alle Windows Sicherheitspatches installiert sind, fehlende sollten umgehend installiert werden!

Hallo,

wollte eben diese Datei "rdriv.sys" in meinem XP sichern - aber - ich finde diese Datei überhaupt nicht.
Wird die erst durch den Trojaner erzeugt ???

raipa

Ich denke mal Du findest die nich, weil:

Die Datei rdriv.sys mit Troj/Rootkit-W zusammen hängt.
Beim erstmaligen starten erstellt W32/Tilebot-O die Datei driv.sys.
Und wenn Dein PC nicht infiziert ist damit, dann isses auch normal das man die nich findet...vermute ich zumindest.

http://www.pc-magazin.de/internet/cm/virenecke/show_sophos.php?id=916

wird wohl so sein !

Danke

raipa

Hallo,
ich habe hier vor kurzem ein Problem im Hardware Bereich bezgl. Reboots geschildert, da muss ich im Moment aber noch abwarten, ob es gelöst ist.
Nun zu meinem neuen Problem. Ich habe heute morgen routinemäßig und auf einmal findet er "TR/Rootkit.P".
Ich habs dann in die Quarantäne geschoben und mich erstmal über Google informiert. Allerdings fand ich überall, wie auch hier, nur "TR/Rootkit.L. Kenn mich da nicht aus. Daher, ist das ein Unterschied?
Auf jeden Fall hab ich sie nachher aus der Quarantäne gelöscht und den PC neugestartet. Jetzt findet AntiVir nichts mehr. Ist die Datei nun wirklich weg und ist mein PC sicher?