Trojanische Pferd TR/Rootkit.L

geh mal in den abgesicherten modus und scanne da deinen rechner nach viren usw...dann müßtest du es entfernen können.....

Hi
Und stelle hier mal ein HJT Logfile.
Den Download und was das überhaupt ist das findest du in diesen link:


http://nikita.eddys-domain.de/hijackthis.html


mfg
misskissyou

Hallo. Hab das selbe Problem mit diesem Trojaner. Er lässt sich auch nicht im abgesicherten Modus löschen, er erscheint immer wieder. Deshalb hab ich mal diese HiJack Datei erstellt:

Logfile of HijackThis v1.99.0
Scan saved at 21:40:27, on 24.07.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Danny\Desktop\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BFC464D-3641-458B-B36A-9F776F2E6CDC}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ampi32 - Unknown - C:\WINDOWS\msvcrt.exe

O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)

Das solltest Du Dir einmal genauer ansehen!!Scanne mal im abgesicherten Modus mit aktualisierter Software...

Das ist allerdings ein anderer Trojaner:!!Klick!!

Hi DannyK

Du kannst deine HJT Logfile unter:

http://www.hijackthis.de/

selber auswerten.


mfg
misskissyou

Hi Leute.
Hab den selben Virus gehabt und es tut mir Leid das sagen zu müssen:

Es gibt keine andere Möglichkeit als Format C.
dieser Trojaner generiert Hintertürchen auf eurem Computer bis er schwrz wird.
Also wenn euch eure Kontonummern und pws lieb sind formatiert lieber.
Selbst wenn ihr den Trojaner entfernt, können (bzw. ist es höchst wahrscheinlich)
dass der Hacker Hintertürchen (backdoors) auf Eurem Rechner erstellt hat. Diese kann er nach allen Regeln der Kunst verstecken, so dass sie nicht gefunden werden können. ALso FORMAT C!!!!!

Ich habs gemacht und es ist zwar sch...e das alles weg ist, aber das ist die EINZIGE Möglichkeit

Euer Mathi

sry mein natürlich Trojaner^^ nicht Virus

Noch einmal es ist die EINZIGE MÖGLICHKEIT!!!!

Fragen beantworte ich gerne

HILFE WEIS AUCH NET WIE ICH DAS TR/Rootkit.L entfernen soll, weisst du schon was !

Schaut einfach auch mal hier rein:
http://www.computerhilfen.de/hilfen-17-78293-0.html

hi,

nach dem neuaufsetzten des system is der

tr.rootkit.l

immernich da...

hab dann alle partitionen platt gemacht
c: erst als fat formatiert
danach nochmal ntfs

trotzdem ******* virus immernoch da

HILFE

PS: beim ganzen formatieren hab ich ausversehen ein partition gelöscht auf meiner externen festplatte, aber nicht formatiert wie kann ich die wieder herstellen???

Der Trojaner TR/Rootkit.l ist auch mir bekannt. Er ist lästig, aber besiegbar. Und zwar gibt es einen einfachen Weg, in los zu werden:

Erstmal ist das Programm EWIDO sehr nützlich, da es effektiver sucht als AntiVir. Damit lässt sich der Trojaner lokalisieren und eventuell sogar entfernen. Ist auf jeden Fall einen Versuch wert.

Einen sicheren Weg beschreibe ich jetzt hier:

AntiVir findet den Trojaner in der Datei "rdriv.sys" im Ordner Windows\system32. Jetzt wist ihr, wo er ist. Die datei kann allerdings so ohne weiteres nicht glöscht werden. Hier der Lösungsweg:

1. Startet Windows im Abgesicherten Modus
2. Sucht nach der Datei "rdriv.sys"
3. Im Abgesicherten Modus kann die Datei gelöscht werden, allerdings wird nach einem Neustart eine neue datei erzeugt, der trojaner wäre wieder da.
4. Um dies zu verhindern, erstellt ihr einfach eine Neue Datei, z.B. ein Textdokument ohne Inhalt, benennt es um in "rdriv.sys" und setzt es in den Eigenschaften aus "schreibgeschützt". Diese Datei verschiebt ihr nun in den Ordner Windows\System32, da vo der Trojaner war. (alles im abgesicherten Modus)
5. Startet Windows ganz normal neu, und lasst eure Virenscanner (oder EWIDO) nach infizierten Dateien suchen. Sie dürften nichts finden.

Anmerkung: Wird der Status "schreibgeschützt" nicht gesetzt, ist der Trojaner möglicherweise wieder da, da er die datei überschreiben kann.

Jetzt solltet ihr das Ding los sein.

Ich hab das Problem auch! Der kommt immer wieder, auch wenn ich ihn lösch!