[HaBo]

smou · 16.12.05, 17:10

Hallo!
Ich kämpfe seit einer Woche damit den Trojaner Rootkit.L von meinem Rechner zu entfernen.
Ich habe bereits das Tutorial Spyware entfernen-So gehts gelesen, und mit der Hilfe versucht das Pferdchen loszuwerden:VERGEBLICH.Ich fand zwar ein Backdoor Programm, und ein paar weitere verseuchte Dateien mit TR/DROP.LOMIX.2 + konnte alles soweit erfolgreich vernichten, aber Rootkit erweist sich als verdammt hartknäckig!

Wenn ich die Datei rdriv.sys im abgesicherten Modus lösche, und anschließend Antivir laufen lass, ist der PC sauber.Wenn ich dann wieder normal starte, gibts wieder Warnmeldungen von AV.

Prozess Radar zeigt-meines Wissens nach!-keine Auffäligen Prozesse an.

Antivir wie gesagt immer:Datei rdriv.sys ist TR/Rootkit.L

Spybot Search and Destroy:
--- Search result list ---
Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)

MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)

MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)

Wenn ich dann bei Spybot alle "Problem beheben" anklick sagt er das Probleme gelöscht wurden, und beim nächsten mal scannen zeigt er genau dieselben Sachen wieder an...!

Ad-Aware:
Findet 16 unbedeutende Objekte und 25 unbedeutende Referenzen

Ich bin mit meinem-wenigem-Latein total am Ende...und es ist immer wieder (nur?) die rdriv.sys die gemeldet wird...!

PS: Prozess Radar zeigt im Event Viewer immer wieder folgende 2 Meldungen:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip

Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

SUID:root · 16.12.05, 20:06

Hallo smou

Rootkits snd schon wieder eine besonders harte Form der Malware.

Schau mal hier nach: http://www.sysinternals.com/Utilitie...tRevealer.html

und
http://www.sysinternals.com/Utilitie...sExplorer.html

Mit diesen beiden Tools solltest du das Rootkit finden und entfernen können.
Wenn du nicht weiter kommst, melde dich wieder.

Hast du während dem Entfernen von der Malware auch die Systemwiederherstellung deaktiviert?

Gruss

root

Anzeige

- Anzeige -

smou · 17.12.05, 09:21

Hi...
Ja,die Sytemwiederherstellung habe ich auch deaktiviert.
Ich versuch`s mal mit den beiden Tools...und sag dann bescheid ob ich erfolgreich war.
Danke erstmal!

Astronic · 18.12.05, 19:14

Rootkits sind generell extrem hartnäckig, da sie das System bereits auf Kernel-Basis manipulieren.

Ich würde dir raten dein gesamtes System neu aufzusetzten.

heinzelJacKy · 21.12.05, 18:58

evtl kannst du auch mal probieren, deine kiste mit nem anderen OS zu starten und von dort aus die rdriv.sys zu entfernen, allerdings kann es dann sein dass er dann beim starten meckert, dass er die datei nicht mehr findet, treiber nicht laden kann etc...
aber nen versuch wärs wert, wenns wirklich nur diese datei ist.
ansonsten wär wahrscheinlich komplett neu aufsetzen das sicherste..

smou · 26.12.05, 22:08

Hi!
So, nachdem ich das System zum VIERTEN MAL!!!

neu aufgespielt habe, habe ich einfach mal Norton Internet Security auf den PC aufgespielt...und nicht Antivir, wie zuvor immer. Und Tadaaaaaa:Mein System ist frei von Malware

Scheint an Antivir gelegen zu haben.
Danke für alle Tips

jorey · 26.12.05, 22:58

Ich denke, da haben sich die Antiviruse, etc. sich gegenseitig bekämpft, hatte ich mal bei bitdefender und norton, weil ihc vergessen hatte norton zu löschen und dann konnte ich erst mal 1 std lang virus meldungen wegklicken.
Halt solange bis norton deinstalliert war, nur der pc war halt dadurch überlastet.
Einfach dann mal vll googlen ob es wirklich daran lag, das sie sich nicht "mögen".

Viel Glück, Mc Goodi

Anzeige

- Anzeige -

16.12.05, 17:10	#1 (permalink)
smou Registriert seit: 16.12.05 Likes: 0	rdriv.sys Rootkit.L Anzeige Hallo! Ich kämpfe seit einer Woche damit den Trojaner Rootkit.L von meinem Rechner zu entfernen. Ich habe bereits das Tutorial Spyware entfernen-So gehts gelesen, und mit der Hilfe versucht das Pferdchen loszuwerden:VERGEBLICH.Ich fand zwar ein Backdoor Programm, und ein paar weitere verseuchte Dateien mit TR/DROP.LOMIX.2 + konnte alles soweit erfolgreich vernichten, aber Rootkit erweist sich als verdammt hartknäckig! Wenn ich die Datei rdriv.sys im abgesicherten Modus lösche, und anschließend Antivir laufen lass, ist der PC sauber.Wenn ich dann wieder normal starte, gibts wieder Warnmeldungen von AV. Prozess Radar zeigt-meines Wissens nach!-keine Auffäligen Prozesse an. Antivir wie gesagt immer:Datei rdriv.sys ist TR/Rootkit.L Spybot Search and Destroy: --- Search result list --- Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\DoNotAllowXPSP2!=dword:0 Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0 Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0 Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0 Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0 Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0 DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done) MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done) MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done) Wenn ich dann bei Spybot alle "Problem beheben" anklick sagt er das Probleme gelöscht wurden, und beim nächsten mal scannen zeigt er genau dieselben Sachen wieder an...! Ad-Aware: Findet 16 unbedeutende Objekte und 25 unbedeutende Referenzen Ich bin mit meinem-wenigem-Latein total am Ende...und es ist immer wieder (nur?) die rdriv.sys die gemeldet wird...! PS: Prozess Radar zeigt im Event Viewer immer wieder folgende 2 Meldungen: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: Fips IPSec MRxSmb NetBIOS NetBT Processor RasAcd Rdbss Tcpip Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Rootkit?	nutsn	Virenschutz · Tools & Aggressive Software	2	13.09.07 08:15
Trojaner mit Rootkit	olmz	Virenschutz · Tools & Aggressive Software	14	25.03.07 12:02
Rootkit.L	Prof. MAAD	Virenschutz · Tools & Aggressive Software	5	04.06.05 21:39
backdoor/rootkit ?	Gulliver	(In)security allgemein	8	09.12.03 16:22

16.12.05, 20:06	#2 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo smou Rootkits snd schon wieder eine besonders harte Form der Malware. Schau mal hier nach: http://www.sysinternals.com/Utilitie...tRevealer.html und http://www.sysinternals.com/Utilitie...sExplorer.html Mit diesen beiden Tools solltest du das Rootkit finden und entfernen können. Wenn du nicht weiter kommst, melde dich wieder. Hast du während dem Entfernen von der Malware auch die Systemwiederherstellung deaktiviert? Gruss root

17.12.05, 09:21	#3 (permalink)
smou Themenstarter Registriert seit: 16.12.05 Likes: 0	Hi... Ja,die Sytemwiederherstellung habe ich auch deaktiviert. Ich versuch`s mal mit den beiden Tools...und sag dann bescheid ob ich erfolgreich war. Danke erstmal!

18.12.05, 19:14	#4 (permalink)
Astronic Registriert seit: 15.06.04 Likes: 0	Rootkits sind generell extrem hartnäckig, da sie das System bereits auf Kernel-Basis manipulieren. Ich würde dir raten dein gesamtes System neu aufzusetzten.

21.12.05, 18:58	#5 (permalink)
heinzelJacKy Registriert seit: 11.09.05 Likes: 0	evtl kannst du auch mal probieren, deine kiste mit nem anderen OS zu starten und von dort aus die rdriv.sys zu entfernen, allerdings kann es dann sein dass er dann beim starten meckert, dass er die datei nicht mehr findet, treiber nicht laden kann etc... aber nen versuch wärs wert, wenns wirklich nur diese datei ist. ansonsten wär wahrscheinlich komplett neu aufsetzen das sicherste..

26.12.05, 22:08	#6 (permalink)
smou Themenstarter Registriert seit: 16.12.05 Likes: 0	Hi! So, nachdem ich das System zum VIERTEN MAL!!! neu aufgespielt habe, habe ich einfach mal Norton Internet Security auf den PC aufgespielt...und nicht Antivir, wie zuvor immer. Und Tadaaaaaa:Mein System ist frei von Malware Scheint an Antivir gelegen zu haben. Danke für alle Tips

26.12.05, 22:58	#7 (permalink)
jorey Registriert seit: 22.11.05 Likes: 0	Ich denke, da haben sich die Antiviruse, etc. sich gegenseitig bekämpft, hatte ich mal bei bitdefender und norton, weil ihc vergessen hatte norton zu löschen und dann konnte ich erst mal 1 std lang virus meldungen wegklicken. Halt solange bis norton deinstalliert war, nur der pc war halt dadurch überlastet. Einfach dann mal vll googlen ob es wirklich daran lag, das sie sich nicht "mögen". Viel Glück, Mc Goodi

[HaBo]

rdriv.sys Rootkit.L