![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo!
Ich kämpfe seit einer Woche damit den Trojaner Rootkit.L von meinem Rechner zu entfernen.
Ich habe bereits das Tutorial Spyware entfernen-So gehts gelesen, und mit der Hilfe versucht das Pferdchen loszuwerden:VERGEBLICH.Ich fand zwar ein Backdoor Programm, und ein paar weitere verseuchte Dateien mit TR/DROP.LOMIX.2 + konnte alles soweit erfolgreich vernichten, aber Rootkit erweist sich als verdammt hartknäckig!
Wenn ich die Datei rdriv.sys im abgesicherten Modus lösche, und anschließend Antivir laufen lass, ist der PC sauber.Wenn ich dann wieder normal starte, gibts wieder Warnmeldungen von AV.
Prozess Radar zeigt-meines Wissens nach!-keine Auffäligen Prozesse an.
Antivir wie gesagt immer
atei rdriv.sys ist TR/Rootkit.L
Spybot Search and Destroy:
--- Search result list ---
Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0
Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
Wenn ich dann bei Spybot alle "Problem beheben" anklick sagt er das Probleme gelöscht wurden, und beim nächsten mal scannen zeigt er genau dieselben Sachen wieder an...!
Ad-Aware:
Findet 16 unbedeutende Objekte und 25 unbedeutende Referenzen
Ich bin mit meinem-wenigem-Latein total am Ende...und es ist immer wieder (nur?) die rdriv.sys die gemeldet wird...!
PS: Prozess Radar zeigt im Event Viewer immer wieder folgende 2 Meldungen:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip
Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}
Ich kämpfe seit einer Woche damit den Trojaner Rootkit.L von meinem Rechner zu entfernen.
Ich habe bereits das Tutorial Spyware entfernen-So gehts gelesen, und mit der Hilfe versucht das Pferdchen loszuwerden:VERGEBLICH.Ich fand zwar ein Backdoor Programm, und ein paar weitere verseuchte Dateien mit TR/DROP.LOMIX.2 + konnte alles soweit erfolgreich vernichten, aber Rootkit erweist sich als verdammt hartknäckig!
Wenn ich die Datei rdriv.sys im abgesicherten Modus lösche, und anschließend Antivir laufen lass, ist der PC sauber.Wenn ich dann wieder normal starte, gibts wieder Warnmeldungen von AV.
Prozess Radar zeigt-meines Wissens nach!-keine Auffäligen Prozesse an.
Antivir wie gesagt immer
atei rdriv.sys ist TR/Rootkit.LSpybot Search and Destroy:
--- Search result list ---
Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0
Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0
Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0
Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0
DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)
Wenn ich dann bei Spybot alle "Problem beheben" anklick sagt er das Probleme gelöscht wurden, und beim nächsten mal scannen zeigt er genau dieselben Sachen wieder an...!
Ad-Aware:
Findet 16 unbedeutende Objekte und 25 unbedeutende Referenzen
Ich bin mit meinem-wenigem-Latein total am Ende...und es ist immer wieder (nur?) die rdriv.sys die gemeldet wird...!
PS: Prozess Radar zeigt im Event Viewer immer wieder folgende 2 Meldungen:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip
Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}
Scheint an Antivir gelegen zu haben.